Siempre y cuando sepa que información enviarle.... pero igual creo que esto seria un tema de nunca terminar, muchos podemos definir distintos algoritmos para construir el hash y aunque tenga acceso a nuestro id no necesariamente sabrá que información enviarle al servidor como decía ahí depende de la creatividad de cada quien en la forma que los construye, y tienes mucha razón las conexiones https son mejores cuando manejamos información mucho mas delicada, pero como tu pregunta era referente a las sesiones por eso nos hemos enfocado en eso...