есть одна идейка, писал уже о ней в какой то ветке.
Вобщем при авторизации на сайте, на основе некоторых постоянных заголовков(тип браузера, ип прокси, клиентских и т.д.), передаваемых клиентом на сервер формируется какое то число, это число заносится куда либо, можно просто создавать временный файл(с данным для конкретного пользователя), и удалять скриптом все файлы старее чем 15 минут (таймаут сессии). Особенностью данного способа является безопасность, заключенная в выборке заголовков и формировании числа. А снифером можно получить хоть что, но реально полезной инфы(логин, пасс, ид сессии, хэш) никто не увидит, заисключением самой авторизации.
