Dopo un test di penetrazione eseguito su un'applicazione intranet che sto sviluppando, in ASP.NET MVC, una delle preoccupazioni sollevate è stata che l'applicazione supporta sessioni utente simultanee e si consiglia di riconfigurare l'applicazione per supportare solo una sessione alla volta per qualsiasi account utente.
È in uso l'autenticazione di Windows. Ciò significa che l'utente non deve accedere all'applicazione, ovviamente. L'applicazione controlla semplicemente la proprietà Windows Identity IsAuthenticated prima di procedere con qualsiasi azione. Neanche la sessione può essere scaduta. Non ci sono configurazioni disponibili, per quanto ne so, che possono limitare l'utente a un singolo ID di sessione.
Questa raccomandazione è corretta? In tal caso, posso limitare l'utente a un ID di sessione singola dato che sto utilizzando l'autenticazione di Windows?