Pero en el caso de la session depende realmente de como la manejes.
Si estas pasanola via URL por GET logicamente si esta representando una vulnerabilida ahi con la session, en dicho caso se puede hacer segura por GET antes de enviarla que sea encriptada por MD5 y ahi si la envias via GET por la URL.
En cambio lo que dijo vb2005 es muy cierto, es mas facil modificar o manipular una cookie en el pc que una session.
Es creo o considero que pensar en uan logica, y es que no sabemos como pueda tener el pc una persona que visita nuestro site con respecto en seguridad, AV, Firewall y si es precavida con el cuidao y segurida de su propio PC. lo cual nos da grandes posibilidades de que alguien que no sea cuidadoso con la segurida de su pc nos visite a nuestro site.
El hecho de que esa persona tenga en cierto "descuido de segurida" su pc, hace que la probabilidad de que lo invadan o tenga acceso por parte de hackers, o programas maliciosos a su sistema y que puedan modificar o manipular registros, archivos, cookies y otros sea de un alto grado de probabilidad.
Creo que si uno programa un site debe tener en cuenta todos los aspectos posibles, desde los mas logicos hasta los mas ilogicos, hoy en dia se ve de todo y mas en la red de redes.
Es lo que creo yo.
Bye