Eu estou usando o VSTS 2008 + C # + .Net 3.5 + IIS 7.0 + ASP.Net. No meu entendimento da autenticação de Formulários, uma variável de sessão (usada para identificador de autenticação - ou seja, quando um usuário passou a autenticação, o usuário terá essa variável de sessão e a variável de sessão é implemnetada como um cookie) é estabelecida para usuário autenticado.

Minha preocupação deste modo é que, a cada vez que o usuário acessar uma página no site, a variável de sessão será transferida para o lado do servidor. Pode ser farejado pelo hacker, e o hacker pode usar essa variável de sessão para fingir ser o usuário final? Isso é um risco de segurança?

Se é um risco de segurança, então temos que usar https o tempo todo com autenticação de formulários?

obrigado antecipadamente, George