lo que debes hacer, en caso de que hipoteticamente se roben la cookies, eso suele pasar mas por fallo del usuario, por no tener un navegador actualizado o iniciar session en un cafe internet donde tienen sniffers y demas

quieres reforzar la seguridad de tu web, pues usa SSL
en tu cookie de session Aparte de ponerle tiempo de caducidad, debes guardar otro tipo de informacion, que venga relacionado a la cookie, como por EJEMPLO "IP", "Tipo de Navegador" asi si alguien le roba la cookie, para usar esa cookie, debera tambien tener la IP de la cookie y tener las mismas cabeceras de navegador , cosa que se puede lograr hacer, pero eso ya seria fallo del usuario, por ejemplo lo de falsear la IP es muy dificil de hacerlo, y dificil me refiero a tener equipos muy costosos o millares de equipos para hacer IP SPOOF, etc.

asi que con las 2 cosas que te indique como el IP y las cabeceras de navegador, estaras sobrado, almenos que en tu web, sea informacion de alto secreto, de transacciones muy pero muy delicadas, de apuestas ilegales , trata y trafico, venta de marcianos , etc etc.

para eso lo comun es usar CONEXION Activa y encriptada, en WEB el equivalente seria WEBSOCKET sobre SSL, o para mucho mas seguridad, crearte tu propio protocolo de seguridad con encriptacion de datos