ASP.NET принимает измененный пользователем идентификатор сеанса и использует его

Question

1. Страница входа загружается, пользователь может видеть файл cookie ASPNET_SessionId в инструменте.
2. Пользователь изменяет значение файла cookie с помощью такого инструмента, как Cookie Manager + и перезагружает (GET) страницу входа, и обнаруживает, что файл cookie ASPNET_SessionId имеет значение, которое он указал.
3. Теперь пользователи входят в систему (POST username / pwd) В этом случае asp.net продолжает использовать переопределенное значение cookie на шаге 2.

Как этого избежать?