Timeout do login

E aí pessoal, beleza?

Na aplicação que estou desenvolvendo estava com um problema de as vezes os usuários serem deslogados do sistema "do nada".

Eis as configurações que interessam:

<forms name="Login" loginUrl="~/Admin/Acesso/Login.aspx" defaultUrl="~/Admin/" timeout="40">

E:

<sessionState mode="StateServer" cookieless="false" timeout="40" stateNetworkTimeout="40"/>

Como podem ver, tanto o login quando a sessão possuem um timeout de 40 minutos.

Encontrei este artigo, e fiz um teste: http://www.bufaloinfo.com.br/dicas.aspx?cod=743

Se o usuário logar no sistema, deixar ele parado, e 19 minutos depois navegar, o cookie do login não é atualizado.

Isso porque meu timeout é 40 minutos, e os 19 minutos não atingiram 50% do timeout, então o cookie é mantido.

Se 22 minutos após isso o usuário navegar de novo, ele será deslogado, porque neste momento o cookie será "41 minutos old".

Mas para o usuário, isso é péssimo, pois ele não ficou em momento nenhum 40 minutos com o sistema parado, além de que ter que digitar TUDO DE NOVO (usuário + senha), as vezes é um sacrifício... vocês sabem!!

Faz sentido, e tem até um lado da segurança, pelo que li, e achei ter encontrado a solução, no mesmo link que passei, ele indicava para incluir uma configuração no "forms" (slidingExpiration):

<forms name="Login" loginUrl="~/Admin/Acesso/Login.aspx" defaultUrl="~/Admin/" timeout="40" slidingExpiration="true">

Mesmo tendo implicações com segurança, resolvi testar, mas o resultado foi o mesmo, aparentemente não mudou nada (continua sendo deslogado depois dos 19 + 22 minutos).

Alguém já passou por isso?

Valeu desde já!!!