>A me è venuto in mente solo di aggiungere nella tabella degli utenti un flag che >viene valorizzato quando l'utente effettua il login, ed effettuare controlli su quel >campo.

Ti sconsiglio questa soluzione perchè se per esempio il browser va in errore e/o non riesci a fare l'update sul DB l'utente risulta loggato e non entrerà + nel sito finchè non verrà sbloccato a mano.

Ti consiglio di usare le Session magari memorizzando anche l'indirizzo ip del client

E il session time out dove lo mettete?

cosa capita se l'utente, come si diceva, chiude il browser e vuole ri-loggarsi subito?

Ti è proprio necessari fare questa operazione?
Se si dovresti prevedere una pagina di logout forzata anche in chiusura del browser!

Tempo fa ho letto un bellissimo articolo in cui in una pg c'erano due frame (di cui uno nascosto), alla chiusura della pagina ...il primo che tiene d'occhio il secondo apre una pg di logout....
Ci ho provato funziona...ma dovresti tenere le tue Pg in frame (...seppur che occupa tutta la finestra) e poi ha una gestione pesante da Javascript... se vuoi posto l'articolo.....
Fossi in te comunque ci ripenserei

Quando l'utente entra per la prima volta e viene autenticato memeorizzi la
Session(nomeUtente) = UserId
Session(Indirizzo IP) = Request.ServerVariables("REMOTE_ADDR")

Se un utente tenta di accedere con lo stesso nome controlli se esistono le due
Session.

If Not IsNothing(Session(nomeUtente)) then
If Session(Indirizzo IP) <> Request.ServerVariables("REMOTE_ADDR") Then
Response.Write "L'utente " & Chr(34) & Session(nomeUtente) & chr(34) & " è già loggato. Impossibile accedere al sito."
Response.End
End If
End If

Ovviamente il controllo va ripetuto in tutte le pagine (magari con un include) se sei in ASP, discorso diverso e più complesso per l'autenticazione di ASP.Net.

Come ha detto Raynor questo metodo ha un problema:
- se l'utente si collega attraverso un proxy allora il server vedrà l'indirizzo IP del proxy, quindi chiunque attraverso quel proxy si potrà collegare con quel nome utente (ovviamente conoscendo la password).

Se invece sei in una intranet non avrai questo problema


PS: Le session vengo eliminate automaticamente dal server quando l'utente chiude il sito (chiude il browser o cambia sito) e quando scade il Session.TimeOut che puoi impostare sia da IIS che da programma.