有个权限登陆的问题，用session传递了权限，使用检查Session的方法来防止用户未经登陆就访问其中的保护页面， 但是听说使用session的方法并不安全。是吗？？不安全性有表现在哪儿？
另外，各位英雄在处理此安全问题时，是如何做的，请多多指教！
欢迎讨论！

 各抒己见，只要有道理， 分数少不了。

Session一般是靠HTTP头中的Cookie来维持的，只要能截获并破译HTTP的头部分就能得到Cookie从而使你能够伪装成别人的Session，而一般的HTTP连接是不加密的，所以。。。最简单的解决办法是用SSL。

那看你的要求了，
比如说论坛真样的session可以了，
能满足需求了

的确可以有办法欺骗过session的验证，
不过那好象是黑客技术

安全的方法是通过SSL或SET方式

几乎所有JSP书中都说session不是很安全,但是对于不是非常机密的应用已经足够了.漏洞总会有的,只有更好,没有最好

对于使用了session技术的页面，一般的欺骗技术是不能混过去的，如果说有安全漏洞，那我们应该想到，哪个东西不存在安全隐患呢？

Session是存在服务器端的，主要的是占用服务器端的资源。

SET与这个事没关系，SET是用于支付的。

SET是用于信用卡的网上支付的，www.setco.org。

我就是这么做的啊  你听说的什么？？

看你做什么了？

我就只会用session

Session本身没有什么不安全的吧

既然知道不是很安全，那就得有较好的解决方法