http://d.hatena.ne.jp/teracc/20061121#1164803903

以下のような状況（PC端末を共有している状況）を想定する。

1. ユーザX（被害者）が、あるサイトにログインし、いくつかのページを見て回り、その後ログアウトする。そして、ブラウザを閉じないままにPC端末を離れる。
2. 次に、ユーザY（攻撃者）が、ユーザXが使っていたPC端末を使う。

ユーザYは、ブラウザの戻るボタンで、ユーザXのログイン直後の画面に戻って、更新ボタンを押すことで、POSTデータ（ID/PW）をサーバに再送信させることができてしまう。つまり、ユーザXのID/PWはサーバに再送信され、ユーザYはユーザXとしてサイトに再ログインできてしまうことになる。

Bのケースでも同じことできると思うんだけど。。。文章の意味を取り違えてるのかな？
個人的には、こういう仕組みを気にする以前にクライアントPCを共有させないようにしたほうがいいと思うんだけど。。。まあ、インターネットに公開し、不特定多数向けサービスは難しいとは思う。そのときは、ブラウザの標準機能を使っても、ログイン画面ではユーザー名・パスワードは覚えさせない・必ず毎回入力させるようにする仕様のほうがいいと思う。