En uno de los compromisos recientes, me topé con algo que no había visto antes: después de un intento de autenticación exitoso, el usuario todavía puede acceder a la página web de inicio de sesión e iniciar sesión como otro usuario.
En cierto sentido, no parecía ser un defecto de seguridad, ya que una vez que inicias sesión como otra persona, tu ID de sesión se vuelve a escribir.
¿Qué piensas, es más una falla lógica o hay alguna forma de explotarla que no haya pensado?