Si el SID no ha expirado .. podria ser usada en el sitio origen y seguir la session activa en ese instante con el consiguiente problema de seguridad ...

Para evitar eso ... lo ideal es tener sessiones que expiren al cerrar el navegador .. propagar por cookies si es posible o mejor aun propagar el SID en modo manual (no automatico) .. si se hacen links externos a tu sitio en ese caso NO propagar el SID.

Tambien .. si usas PHP 4.3.0 veras que han añadido varias directivas de configuración del php.ini en el apartado Sesiones .. Alguna de ellas son por ejemplo si propagas el SID en automatico .. tienes opción ahora de ver el HOST que la emitió (se incrementa la seguridad): session.referer_check ... Con eso ya te evitas el caso que te ejecuten ese mismo SID desde otro Host (caso de localizar un referer el SID y devolverlo al instante). Pero esto es solo para PHP 4.3.0 en adelante .. Si usas PHP versiones anteriores deberas controlar "a mano" tu el tema de la propagación del SID ..


Un saludo,