Да, любой, кто получил идентификатор сеанса, может получить доступ к сеансу этого пользователя.Это большой риск для безопасности, усугубляемый тем, что многие люди ошибочно используют его для пользовательской аутентификации (что вы, похоже, делаете).
Записав его на страницу, вы упростите кражу с помощью методов XSS.и другие.Сессия не совсем безопасна, поэтому .NET имеет свою собственную схему аутентификации с использованием шифрования и полностью отделена от сессии.
Я могу отправить вам ссылку, установить ваш файл cookie, дождаться, когда вы войдете в систему, поделитесь тем жеcookie и получить доступ ко всем вашим данным, как будто я был вамиИдентификатор сеанса является случайным токеном, шифрование которого вообще отсутствует.
Способ реализации аутентификации - использование файла cookie аутентификации .NET и, при необходимости, использование MembershipProvider.Это создает зашифрованный файл cookie на основе уникального ключа компьютера.Только этот сервер может расшифровать cookie для аутентификации пользователя.Если кто-то присвоит вам идентификатор сеанса или украдет его, он все равно не сможет аутентифицироваться как вы.
Конечно, кто-то также может украсть ваш файл cookie для аутентификации, но есть возможность обслуживать этот файл только через SSL длязащититесь от этого, и он не может быть навязан вам из-за шифрования.