La domanda è relativa alla gestione ID sessione in una particolare app web basata su php.
L'app web utilizza lo stesso ID di sessione per ogni sessione per un utente fisso. Quindi, dopo la disconnessione dell'applicazione, la volta successiva che l'utente ha effettuato l'accesso, lo stesso ID di sessione viene rilasciato come cookie. Tuttavia, mentre l'utente non ha effettuato l'accesso, l'applicazione non consente l'utilizzo del cookie (il rinvio delle richieste HTTP con lo stesso cookie viene inoltrato alla pagina di accesso).
Questa è considerata una cattiva pratica di sicurezza? Che ne dici se lo stesso ID di sessione viene utilizzato per tutti utenti?