creo que el primero punto de seguridad en sesiones es, desde luego, saber como y donde trabajan dichas funciones...
en este caso, es casi imposible que alguien tome control de una sesión, de un determinado usuario, ya que el manejo de las sesiones se hace en el servidor...
claro que, por cuestiones de reconocimiento del cliente es que se emplean cookies, y quizá ahí esta el talón de Aquiles en cuanto a que alguien tome control de nuestras aplicaciones...
por decirlo así...
Código PHP:
// con cookies
if ( ! empty($_COOKIE['logeado']))
{
// OK?
}
// sesiones
if ( ! empty($_SESSION['logeado']))
{
// OK?
}
al ver el primer ejemplo se hace evidente la inseguridad, mientras que al usar sesiones, ya no es tan fácil que alguien cree especifico índice en tu sesión, pues eso lo controlan tus scripts, a través de las instrucciones que programaste... (:
por eso, la seguridad de las sesiones no recae en el funcionamiento mismo de las sesiones, la culpa como siempre es de programar precarias condiciones para el control de acceso a través de nuestras propias implementaciones...