Pero una vez en estas paginas (con la sesion iniciada), al agregarlo a favoritos, este captura la sesion y podes entrar por ella sin la mas minima seguridad....

No propagues el SID en el URL .. Hazlo en cookies.

Realmente no sé como trabaja las sesiones el CML: Xoops .. no sé si propaga o fuerza la propagación del SID por el URL (pues escribe en link's y demás el SID) .. Tendrás que revisar ese punto en el código de Xoops.

Si Xoops no fuerza la propagación del SID en el URL (lo añadiría en links y demás ..) .. entonces podría ser que lo deje en manos de la configuración global de PHP .. en ese caso podrías forzar la propagación del SID en cookies usando (php.ini) (también se puede ajustar por ini_Set()):

session.use_trans_sid = OFF (desactivar la propagación del SID en el URL re-escribiendo ciertos tag's HTML)

session.use_cookies = ON (propagación del SID en cookies)
session.use_only_cookies = ON

Un saludo,