Que un usuario tome la sesión de otro, no es realmente fácil, pero no imposible. Me explico:

Existen muchos sitios Web que pasan por URL la ID de la sesión, lo que significa que si el usuario copia y pega esa URL con su identificador de sesión en un foro, el messenger etc, otros podrían acceder a su sesión si el sistema no esta bien programado. Yo conozco algunos sitios en los que ocurre esto, y que si un usuario inicia su sesión y por accidente revela su ID de sesión a otra persona, esta puede retomarla y modificar parámetros al usuario.

Es muy importante que si pasas este parámetro por URL guardes algún dato sobre el usuario (como la IP) que lo identifique como poseedor de la sesión, sino podria producirse un pequeño "robo" de sesión. Cuando caduque la sesión, o el verdadero usuario, cierre la sesión, el atacante quedaria sin acceso al sistema, pero podría haber cambiado importantes parámetros (como el de email del usuario) y hacerse finalmente con la cuenta de la victima.

Suerte !!!