Я использую VSTS 2008 + C # + .Net 3.5 + IIS 7.0 + ASP.Net. В моем понимании проверки подлинности с помощью форм переменная сеанса (используемая для идентификатора проверки подлинности, т.е. когда пользователь прошел проверку подлинности, у пользователя будет такая переменная сеанса, а переменная сеанса реализована в виде файла cookie), устанавливается для аутентифицированного пользователя.

Меня беспокоит этот режим: каждый раз, когда пользователь получает доступ к странице на веб-сайте, переменная сеанса будет передаваться на серверную часть. Это может быть взломано хакером, и хакер может использовать такую переменную сеанса, чтобы притвориться конечным пользователем? Это угроза безопасности?

Если это угроза безопасности, то мы должны все время использовать https с проверкой подлинности с помощью форм?

заранее спасибо, Джордж