Давайте просто рассмотрим доверие, которое сервер имеет к пользователю.

Фиксация сеанса: чтобы избежать фиксации, я используюsession_regenerate_id() ТОЛЬКО в аутентификации (login.php)

Перехват сеанса: шифрование SSL для всего сайта.

Я в безопасности?