Pues yo insisto ...

Ahora voy de salida y no puedo colocar un post extenso explicando mis puntos de vista a conciencia, pero no creo que debas de basar las sesiones como único medio o por lo menos como lo más seguro para manejar autentificación.
Para empezar, ni siquiera tenemos control en la existencia de seciones dado a que están supeditadas a la aceptación de cookies por parte del cliente. Por lo que se refiere a los envios de POST, pues primero deberían averigûar el nombre del parámetro que se envía (que si se puede) y luego pasarse la validación del HTTP_REFERER trabajado por medio de una página de redireccionamientos (para que el dominio de dicha variable sea menor). En ASP.NET se maneja la ausencia de cookies en el cliente por medio de valores por POST y si uno desea aumentar la seguridad, pues de le agregan encabezados SOAP. Pero eso ya es complicarse aún mas el asunto. Ya en estos limites del stress se puede implementar un certificado de seguridad y se evita el problema del parámetro POST. pero bueno, ya lo dejaremos para el Martes ( el Lunes 25 es el mero día de la feria de San Marcos en Aguascalientes -¿dónde andas U_G, te pierdes de la cantina más grande de México? )

Saludos y nos vemos el Martes