¿Se considera JSessionID para la sobrecarga de la variable de sesión (también conocida como desconcierto de sesión)?
- Una aplicación web java se implementa en HTTPS
- Un usuario administrador inicia sesión en la aplicación. Después de iniciar sesión, se emite un nuevo JSessionID.
- Otro usuario no administrador se las arregla para obtener ese usuario administrador JsessionID
- Usando esa Id. de sesión, el usuario no administrador realiza alguna función de administrador.
¿Se puede considerar un desconcierto de sesión?