La documentación para el manejo de sesiones en ninjaFramework indica:
[...] Ninja utiliza las llamadas sesiones del lado del cliente. La cookie en sí almacena la información que desea adjuntar a esa sesión. [...] Las sesiones de ninja no están encriptadas por defecto. Por lo tanto, no debe almacenar ninguna información crítica. El almacenamiento de una identificación de usuario o nombre de usuario está bien
¿Qué hace que almacenar el ID de usuario sea "correcto"? La forma en que entendí estas sesiones del lado del cliente es básicamente una cookie con atributos en texto limpio.
¿Qué impide que un atacante solo cambie su ID de usuario en la sesión y, por lo tanto, se convierta en otro usuario (sin iniciar sesión) en el servidor?