Originariamente inviato da IlNata
Il loro grande problema è stato risolto?
Ovvero il problema è che sul server i file di sessione erano accessibili da tutti e quindi anche modificabili, per bucare un'area basata su sessioni bastava quindi avere uno spazio sullo stesso server, accedere alle sessioni, fregare i dati e loggarsi, sostituire i propri con quelli di un'altra sessione e festa fatta..
Non è mai stato un problema se non per chi ne ignorava il funzionamento.

Se il fornitore di hosting è così sconsiderato da mettere le sessioni in un luogo raggiungibile a tutti senza abilitare il safe_mode o impostare adeguatamente i permessi in Apache 2....
il programmatore può sempre modificare il sistema con proprie impostazioni(decidere dove i file vengono salvati) e addirittura mettere le sessioni su database