le sessioni inoltre non sono così sicure se non ti difendi da attacchi di tipo session fixation o se comunque il server è condiviso e tutti hanno accesso al punto in cui vengono salvate le sessioni sul server...

come dice kb tutto dipende dall'intelligenza dello sviluppatore.