disconnette tutti i dispositivi o solo uno

1

Mi chiedo quale sia la migliore pratica in termini di sicurezza. Supponendo un'applicazione in cui è possibile effettuare il login da più dispositivi in parallelo cosa dovrei aspettarmi dal pulsante "logout"? Per disconnettere l'utente chiudendo tutte le sessioni attive o per disconnettere solo il dispositivo corrente? Sto cercando di capire un attacco in cui l'attaccante prende il controllo di un dispositivo, cambia le credenziali e poi fa fuori il legittimo utente. Se il logout disconnette tutte le sessioni, l'utente legittimo non ha possibilità di recuperare, mentre se il logout è limitato a un dispositivo questo effetto è in qualche modo mitigato.

Qualche idea?

    
posta Davide C 20.06.2018 - 13:05
fonte

0 risposte

Leggi altre domande sui tag