sul client dell'utente non invio nemmeno un cookie
Bhè, un cookie lo invii per forza, e contiene l'id della sessione. Ricordati che http è un protocollo stateless.
il file di sessione sul server non potrà essere manomesso in alcun modo dall'utente, vero?
yeah.