Ha a session-t el lehet téríteni/lopni, akkor már rég rossz: a regisztrálós odlalakon van olyan, hogy saját adatok, ott meg szokott szerepelni az usernév, meg elő szokott fordulni jelszó- meg e-mail cím cserélő lehetőség is, úgyhogy ha ellopják a session-t, akkor nagyjából mindegy, hogy ssl-en megy a jelszó vagy sem.