Hola un_tio:

"In a nutshell" cada vez que tu haces una visita a un sitio, el IIS genera un sessionID, este sessionID dicen los que saben que es un identificador único, ahora, el server tiene este sessionID asignado a tu sesión, y al trabajar con sesiones(que no son más que cookies volátiles), escribe una cookie temporal en el cliente, no se si con el mismo sessionID, pero algo debe tener que ver, de tal manera que pueda identificar, mediante un ticket electrónico que tu cookie temporal y el sessionID del servidor "estén casadas".

Quizás pudiera modificarlos...quizás, porque en realidad si has tratado de ver una cookie, pues es un valor encriptado, ahora en el caso de que pudiera dar con esa cookie temporal y modificarla, también necesitaría conocer algún sessionID que esté generado en el servidor en ese momento, con lo cuál pues es muy improbable que pudiera saltar esta medida de seguridad.

Por supuesto que las sesiones tienen otros problemas que ya han sido discutidos en su momento(no de seguridad) principalmente de alcance, y que son solventados de manera eficiente en .NET, así que bueno...eso es lo que puedo decir al respecto, a ver si viene otra mente más iluminada y nos dice que a lo mejor si es posible atentar contra la seguridad de la aplicación de la manera que planteas.

Salu2,