Después de una prueba de penetración realizada en una aplicación de intranet que estoy desarrollando, en ASP.NET MVC, una de las inquietudes planteadas fue que la aplicación admite sesiones de usuarios concurrentes y se recomienda que la aplicación se reconfigure para admitir solo una sesión. a la vez para cualquier cuenta de usuario dada.
Se está utilizando la autenticación de Windows. Esto significa que el usuario no tiene que iniciar sesión en la aplicación, obviamente. La aplicación simplemente verifica la propiedad de Windows Identity IsAuthenticated antes de continuar con cualquier acción. La sesión tampoco puede ser agotada. No hay ninguna configuración disponible, que yo sepa, que pueda limitar al usuario a un único ID de sesión.
¿Esta recomendación es correcta? Si es así, ¿puedo limitar al usuario a un ID de sesión único dado que estoy usando la autenticación de Windows?