Se sei in un contesto intranet e puoi "Costringere" l'utente ad utilizzare un browser specifico con impostazioni specifiche, allora non ci sono problemi. Se invece la tua è una procedura "generica", la cosa non ti dà alcuna certezza. Se stai usando le sessioni, imposta la scadenza (lato server, quindi) ad un tempo abbastanza breve (inattività di 5-10 minuti, ma lo saprai tu in dipendenza del genere di applicazione)... in questo modo l'utente verrà sganciato comunque in un tempo ragionevolmente breve.