Recentemente ho letto sull'autenticazione del modulo di Asp.Net ma non riesco a distinguere differenze nel termine di sicurezza tra esso e l'autenticazione di sessione.
Ad esempio se qualcuno ha hackerato il mio computer e ha ottenuto il ticket in modo che sia in grado di accedere al mio account, lo stesso per l'id della sessione se qualcuno l'ha rubato, quindi non so come sia più sicuro.
Penso che possiamo usare alcune tecniche per proteggere il furto del cookie come legare la sessione attiva con un token che invii sempre con la sessione attiva.
Quindi per favore qualcuno potrebbe spiegarmi se è davvero più sicuro utilizzare l'autenticazione basata su form piuttosto che l'autenticazione di sessione.
UPDATE
Mi chiedo perché non si mandi il ticket autonomamente nella richiesta HTTP piuttosto che memorizzarlo nel cookie, in questo caso giocherà il ruolo del token e dell'identificatore allo stesso tempo.