Sobre sessiones son seguras mientras no se trasmita el identificador de session por la url para eso debemos configurar algunas directivas de php

http://www.forosdelweb.com/f18/segur...ml#post4416219

tambien debemos proteger el robo de sessiones.
un usuario conectado a wiffi es observado por alguien que ha entrado en su wiffi le snifea la cookie de session y ya es posible acceder desde el ordenador atacante , digamos si ese sistema no tiene ninguna proteccion tan solo verifica el id de session , por eso es de obligacion proteger la cuenta del usuario en la medida de lo posible

http://www.forosdelweb.com/f18/segur...ml#post4419281