23-04-2012, 08:33 PM
Non, ça va, la session est assez sûre. Pour se la faire voler, il faut avoir le cookie (PHPSESSID, dans le cas de PHP par défaut) d'un autre. Ça dépend aussi de la sécurité de ton site : si tu empêches qu'on injecte du code HTML dans ton site (et par extension du Javascript), tu limites considérablement les risques.