Robo de sesiones¿ como proteger?

he leido en internet que hay metodos para extraer las cookies creadas por la sesion mientras esta en tranfico en la red.
y las recomendaciones es usar el https para que la informacion este cifrada y no funcione para esos sevicios que la interceptan.
creen que halla una manera manual para saber que el usuario es autentico y no es la persona que halla robado la sesion?
algo asi como guardar en la sesion la direccion ip y mas informacion para confirmar que es autentico? o estare muy perdido?
de antemano gracias.
por cierto
¿por que si se inicia sesion con http://www no lo toma en cuenta cuando se quitan las www y solo se pone el http:// como si fuera otra pagina sin sesion y vicebersa?

se me ha ocurrido proteger comparando con la session_id(), cada vez que el usuario inicie sesion en otro lugar se le cierre la sesion donde la dejo abierta
pero que tan seguro es esto?
de antemno gracias

Hola , evidentemente un ssl encriptara las comunicaciones, pero tal como lo veo , si roban la cookie del usuario pueden suplantar la session ( lo que se conoce como hijacking ), para ello hay tantas técnicas como imaginación tengamos.(otra cosa es que sea mas o menos efectivo).

Lo mas fácil que se me ocurre es que podrías capturar el user agent del usuario que visita la página y comprobar si existe session y si existe si es el mismo user agent,tampoco es que sea muy seguro porque el user podría falsear las cabeceras, luego podrias capturar la ip cuando se abre session ... y comprobar las 2 cosas pero también es falseable con proxies.

Un saludo!

Pues estoy guardando el session_id en un campo y ese es el que compruebo cada vez que entro a una pagina, lo compruebo al igual que si una sesion existe