Mi aplicación web solo es accesible para usuarios autenticados. Antes de iniciar sesión, el usuario solo puede ver la página principal con un botón para iniciar sesión. La aplicación asigna un ID de sesión en la página principal, la autenticación es manejada por otra aplicación.
Después de iniciar sesión y volver a mi aplicación, el usuario todavía tiene el mismo ID de sesión. Sin embargo, se cambiará después de cerrar la sesión.
OWASP ASVS indica que la ID de sesión debe cambiarse al iniciar sesión, pero no veo un punto claro por qué es necesario para esta situación. ¿Es necesario cambiarlo?