Sessão responsavel por parte da segurança. é realmente seguro?

Por exemplo,tenho uma tela de login,ela passa para a camada de controle que vai verifciar aquele login e senha…
-login e senha confere? salva na sessão que aquele cara está logado e deixa ele ver os conteudos para usuarios logados…
-login e senha não conferem? volta para a pagina com mensagem de erro…

Porém,é agora que surge a duvida,é realmente seguro deixar essa responsabilidade para a sessão?digo será que não tem formas de o cara manipular a sessão para exibir
o que desejar no sistema mesmo sem estar autenticado? caso deixar a responsabilidade de segurança para a sessão não seja tão seguro assim,quais outras ferramentas poderiam
ser usadas para separar conteudo permitido de conteudo não permitido?
Obrigado a todos!

A sessão fica no servidor e o usuário acessa apenas ao que vc disponibiliza.

É mais fácil alguém invadir seu servidor e pegar dados do que utilizar informação do httpSession.

[quote=Hebert Coelho]A sessão fica no servidor e o usuário acessa apenas ao que vc disponibiliza.

É mais fácil alguém invadir seu servidor e pegar dados do que utilizar informação do httpSession.[/quote]

Obrigado,esclareceu muitas duvidas minhas =D

O que fica no browser do usuário é um cookie com o session id.

Esse session id é um valor gerado pelo servidor pra identificar quem é quem.

Só há segurança nesse processo, se a comunicação entre browser e servidor estiver rodando sobre https.

Se for http simples, qualquer pessoa monitorando essa comunicação, poderá ver o session id trafegando de um lado para o outro.

Se essa pessoa pegar seu session id e se comunicar com o servidor usando ele, ela basicamente terá acesso a sua sessão.

Ou seja, a segurança vem do https e não da sessão em si.
Sessão é apenas um mecanismo de autenticação e não para segurança em si.