JSESSION id rinnovato dopo la login

[matteopassarella]

Buongiorno,
nel corso di una proceduare di verifica della sicurezza di un' applicazione web Inde, realizzata con Foundation, mi hanno segnalato come problema il fatto che
il JSESSIONID viene definito alla presentazione della maschera di login, quindi mantenuto dopo la login valida dell'utente dell'applicazione.
Il processo di login e' quello standard delle applicazioni web di Inde Foundation, e l'applicazione e' realizzata in Java e pubblicata via Tomcat 10.
Questo fatto, viene indicato come possibile veicolo di hacking dell'applicazione realizzato leggendo il JSESSIONID prima della login, utilizzandolo poi dopo che l'utente si e' collegato validamente.

Esiste un modo per far resettare/rinnovare il JSESSIONID dopo la login dell'utente?

Grazie.