La mia applicazione web è accessibile solo per gli utenti autenticati. Prima di accedere l'utente può solo vedere la pagina principale con un pulsante per accedere. L'applicazione assegna un ID di sessione sulla pagina principale, l'autenticazione è gestita da un'altra applicazione.
Dopo l'accesso e il ritorno alla mia applicazione, l'utente ha ancora lo stesso ID di sessione. Tuttavia, verrà modificato dopo il logout.
OWASP ASVS afferma che l'ID di sessione dovrebbe essere cambiato all'accesso, ma non vedo un punto chiaro perché è necessario per questa situazione? È necessario cambiarlo?