Regenerar a identificação da sessão após o login é uma boa prática?
Gostaria de saber se a regeneração do ID da sessão após um login bem-sucedido é realmente uma boa prática e não apenas um comportamento de culto à carg
Se eu entendi a teoria corretamente, ela deve impedir o seqüestro de sessões (ou pelo menos dificultar), mas não consigo ver se alguém poderia roubar a sessão de pré-login, o que impediria o phisher de fazê-lo novamente com a regenerada .
Não estou focando no Spring (nem uso Java atualmente), estou interessado nos prós e contra