Ok entiendo tu planteamiento y si es muy válido, la idea del hash es "una media de suguridad extra" que si bien no garantiza que sea 100% segura ayuda a garantizar un poco mas la seguridad, por ejemplo se me ocurre alguien puede construir su hash con la siguiente información, IP que realiza la petición, user agent, la fecha, y adicionar un par de datos X que se envien por get o post intencionalmente, tu me diras que esta información se puede obtener para enviarsela al servidor y es valido, pero la "media de seguridad" podria darse si cada vez que haga peticiones al servidor este me genere un hash y lo compare con el hash de la sesion si coincide que me de paso de lo contrario no me permita continuar... me diras que si la ip del cliente cambia... mmmm no creo que la ip del cliente cambie cada minuto...