Estoy utilizando VSTS 2008 + C # + .Net 3.5 + IIS 7.0 + ASP.Net. En mi entendimiento de la autenticación de formularios, se establece una variable de sesión (utilizada para el identificador de autenticación, es decir, cuando un usuario pasa la autenticación, el usuario tendrá una variable de sesión de este tipo y la variable de sesión está implícita como una cookie) se establece para el usuario autenticado.

Mi preocupación por este modo es que, cada vez que un usuario accede a una página en el sitio web, la variable de sesión se transferirá al servidor. Puede ser detectado por un pirata informático, y un pirata informático podría usar dicha variable de sesión para pretender ser el usuario final. ¿Es eso un riesgo de seguridad?

Si es un riesgo de seguridad, ¿entonces tenemos que usar https todo el tiempo con la autenticación de formularios?

gracias de antemano, george