ciao,

forse non sai, ma le sessioni vengono memorizzate lato server, l'utente ha un cookie sul proprio pc contenente un ID associato alla sessione. Quindi, essendo tale ID una stringa alfanumerica di 32 caratteri (se non erro), sarebbe impossibile scoprire un altro ID sessione di un altro utente.