Толи ночь на дворе толи трава была сырая..
Я бегло прочитал своими расширившимися зрачками тред и эту писанину, и вот что хочу сказать:
А нельзя кинуть в сессию хэш объединяющий заголовки браузера и IP\'шник юзера и при проверке "отпечатков" сравнивать с текущим?
Причём здесь размещение хэша отпечатка в строке адреса? Юзер будет помечен как валиндный только если зайдёт с теми же заголовками, с того-же IPшника и с тем-же хэшем сессии. Больше вы ничего сделать не сможете. Ну конечно можно поизвращаться, сделать session.use_only_cookies=1 и/или написать: "если нужна безопастность включите куки".
Если пользователь зашёл на сайт предоставляющий повышенный уровень безопастности оттуда, где могут подсмотреть ИДшник сессии надо его проинформировать, пусть знает на какой риск он идёт отключая куки.
Ну если уж очень хочется скрыть ИД сессии от беглово взгляда можно заюзать старые, добрые фрэймы.
Не бейте слишком сильно, если чего не понял..
