Mi chiedo quale sia la migliore pratica in termini di sicurezza. Supponendo un'applicazione in cui è possibile effettuare il login da più dispositivi in parallelo cosa dovrei aspettarmi dal pulsante "logout"? Per disconnettere l'utente chiudendo tutte le sessioni attive o per disconnettere solo il dispositivo corrente? Sto cercando di capire un attacco in cui l'attaccante prende il controllo di un dispositivo, cambia le credenziali e poi fa fuori il legittimo utente. Se il logout disconnette tutte le sessioni, l'utente legittimo non ha possibilità di recuperare, mentre se il logout è limitato a un dispositivo questo effetto è in qualche modo mitigato.
Qualche idea?