Il captcha potrei integrarlo nella pagina di login, e al limite anche i controlli sull'esistenza dell'utente. Le Session hanno vulnerabilità?