Hola, nosotros no lo resolvimos al 100% y no nos paso mas (hasta ahora)
uno de lños problemas que tuvimos que resolver fue lo de la sesion por IP, solucionado y descartado.
el problema real era que me tomaba la sesion de un usuario totalmente desconocido, ni si quiera era parte de nuestro equipo o el cliente que estaba mas caliente qu un volcan.

otra cosa, fijate bien que los datos del usuario se consistentes: en otro de nuestros proyectos pasaba que seguna cierta accion del usuario le actualizaba sus datos con los de otro usuario o en el peor de los casos se duplicaban los datos y traia fruta...
Todo eso por un problema de framework.

tambien mira la configuracion del apache para que expire la session y no la guarde el cache, no se que mas decirte..........