Проблема этого подхода заключается в том, что ни sessionid (url или cookie), ни обмениваемые данные не шифруются.Поэтому данные могут быть прочитаны и обработаны как на пути от сервера к пользователю, так и на пути от пользователя к серверу.
Даже пассивный злоумышленник которые могут просто перехватывать трафик, не имея возможности манипулировать им, могут создавать урон: злоумышленник может просто скопировать sessionid в свой браузер.Общедоступные беспроводные соединения часто используют прозрачный прокси-сервер, поэтому и злоумышленник, и жертва имеют один и тот же общедоступный IP-адрес, что затрудняет различие между приложениями.
Существуетинструмент под названием Firesheep , который делает этот вид атаки чрезвычайно легким .