Давайте просто рассмотрим доверие, которое сервер имеет к пользователю.
Фиксация сеанса: чтобы избежать фиксации, я используюsession_regenerate_id()
ТОЛЬКО в аутентификации (login.php)
Перехват сеанса: шифрование SSL для всего сайта.
Я в безопасности?