Ciao, stò facendo un portale con degli utenti registrati

Volevo identificare l'utente tramite una form e poi tenere traccia dell'ID dell'utente attravero le querystring utilizzando l'ID di sessione generata dal server al momento dell'apertura del sito in modo da non usare le variabili di sessione od eventualmente senza utilizzare i cookies

praticamente mi registro gli utenti online in un xml dove viene segnato l'id di sessione generato e l'utente che ne corrisponde

volevo sapere, che probabilità ci sono che un utente cambiando i valori dell'id di sessione riesca a trovare un'altro utente online ed utilizzare la sua sessione ?

può un utente da casa creare script automatici per trovare un id di sessione valido ?