Me pregunto cuál es la mejor práctica en términos de seguridad. ¿Asumiendo una aplicación donde uno puede iniciar sesión desde múltiples dispositivos en paralelo, qué debo esperar del botón de "cerrar sesión"? ¿Para cerrar la sesión del usuario que cierra todas las sesiones activas o para cerrar sesión solo en el dispositivo actual? Estoy tratando de descubrir un ataque en el que el atacante tome el control de un dispositivo, cambie las credenciales y luego saque al usuario legítimo. Si el cierre de sesión desconecta todas las sesiones, el usuario legítimo no tiene posibilidades de recuperarse, mientras que si el cierre de sesión se limita a un dispositivo, este efecto se mitiga de alguna manera.
¿Alguna idea?