Buenas,
estoy desarrollando un script y me estoy concentrando en seguridad.
Mi script utiliza sessions para tener a mano la informacion del usuario, que se logueo con un nombre de usuario y una contraseña.

Estuve averiguando por internet que las sessiones son seguras ya que la info se guarda en el servidor mismo, pero que el ID de la session es guardada en una cookie, o sea, en el browser del usuario.
Entonces pense, si se cambia en el cookie el ID session se podria acceder informacion guardada para otro usuarios de otra sesiones?

Hice esta prueba:
tengo un localhost y dos diferentes webbrowsers en los cuales siempre utilizan diferentes sessions. En el firefox me baje el firebug y el firecookie, para poder modificar los cookies. En el primer browser, google chrome, inicie sesion con un usuario y contraseña, y en el firefox con un usuario y contraseña diferentes, teniendo asi dos sesiones diferentes. Luego tome la session ID del cookie del chrome y la copie en firecookie de firefox y... entré al usuario de google chrome desde el firefox sin necesitar contraseña!!

Esto no es inseguro? un hacker no podría ir cambiando los cookies e ir probando hasta poder entrar en la sesion de otro usuario???? Será que solo por ser un localhost y al ser el mismo ip se puede ingresar a otra sesion diferente? Si esto no es asi, existiria un riesgo de seguridad importante en sessions y habría que implementar mas seguridad manualmente.

Alguien me puede aportar datos sobre esto?? Es asi??