Vamos considerar apenas a confiança que o servidor tem com o usuário.
Fixação da sessão: Para evitar a fixação, eu usosession_regenerate_id()
SOMENTE na autenticação (login.php)
Sidejacking de sessão: criptografia SSL para todo o site.
Eu estou seguro?