Originariamente inviato da bubu77
Ad ogni richiesta il session id viene inviato in chiaro tramite cookie quindi non è un grosso problema sniffarlo.
E' vero, ma una cosa è "rubare" una singola sessione, altra cosa è intercettare i dati di login.
Con questi ultimi fai quello che vuoi, fino a quando non vengono cambiati. La sessione invece ha una validità limitata nel tempo, per cui l'attacco deve essere più rapido ed efficiente.

In sostanza a me non sembra una cattiva idea; è chiaro che non risolve qualsiasi problema di sicurezza, però è un miglioramento rispetto alla soluzione "tutto in chiaro", che è la più diffusa per applicazioni non vitali.