Usando le session è possibile mediante certi attacchi dirottare la sessione se non viene fatto un controllo con sessionid eccc...

Qualcuno sa se è possibile cambiare un valore di una session mediante qualche tecnica particolare?

Chiedo questo perchè sto programmando un'area riservata con valore session("aut")=1 per l'admin e session("aut")=0 per il guest.

Non vorrei che qualcuno riesca in qualche modo a prendere la sessione dell'admin o cambiare il valore di una session per ottenere degli accessi in aree protette.

GRazie

Bene, ho fatto un controllo tra il sessionid e una session che contiene l'hash dell'ip della macchina dell'utente ok, quando si esegue una pagina dell'area riservata viene confrontato l'hash dell'indirizzo ip della macchina client con l'hash della variabile di sessione creata in fase di login se sono uguali ok se diversi abbatte tutte le session.
In più cartella admin e pagina login.aspx impostato certificato in iis con cifratura.
Impostato controllo di force brute per la login con lista ip da bloccare.
Penso che così possa andare o c'è ancora qualche possibilità di accedere all'area riservata in modo...improprio...?