Saludos,

La variable de sesion no porque según habíamos quedado (si mal no recuerdo), se guardan en el servidor, lo único que se transmite entre el servidor y el cliente es el "ticket" o ID de Session.

Pero un sniffer podría leer todo el tráfico entre el servidor y cliente (Contraseñas, PINs, etc) cuando el usuario los envía al servidor (en un formulario por ejemplo), para evitar esto puedes o encriptarlos en el cliente con JavaScript y desencriptarlos en el server o lo mejor en este caso utilizar un Certificado.