Session ID
第3者にSession IDを推測されないように生成しないといけない
連番などはもってのほか
自作するのではなく、ライブラリなどから提供されうものを利用する
例えばcookieで管理している場合、devtoolsで見ると
(Name, Value)の組が見れるが、このValueの方がSesion ID
Nameの方はCookieの名前ではあってSessionとは直接的には関係ない
Session Dataはclientは知らないので見れない
なりすまし
ログイン状態のセッションのSession IDを手に入れられれば、別ブラウザでもログイン状態になれる