Un software bien diseñado podria ir probando cookies rapidamente y detectar si se entro en la sesion de otro usuario. Es tema de suerte tambien, lo se, pero si en ese tiempo de duracion de los session se llega a adquirir un id de una sesion abierta y llega a poder utilizar la info de algun usuario podria ser grave, ya que se podria tratar de un ecommerce script y poder manipular la tarjeta de credito de otra persona, por ejemplo.

Seguro que el servidor no tiene en cuenta el ip tambien para identificar una session?

Voy a hacer una prueba desde otra computadora y probar si el ip cambia algo para identificar la sessions, de lo contrario voy a tener que diseñar algo yo mismo para que se fije en el cookie Y en el ip simultaneamente .... No me proporciona la seguridad que realmente quiero en mi script.

Alguien tiene alguna otra idea?