La pregunta está relacionada con la administración de ID de sesión en una aplicación web basada en php en particular.
La aplicación web utiliza el mismo ID de sesión para cada sesión para un usuario fijo. Entonces, después de cerrar la sesión de la aplicación, la próxima vez que el usuario inicie sesión, la misma ID de sesión se liberará como una cookie. Sin embargo, mientras el usuario no ha iniciado sesión, la aplicación no permite el uso de la cookie (reenviar las solicitudes HTTP con la misma cookie se reenvía a la página de inicio de sesión).
¿Se considera esto una mala práctica de seguridad? ¿Qué tal si se utiliza la misma ID de sesión para todos usuarios?