Il session id, come dice il nome stesso, identifica la sessione. Se tu stai navigando su un sito e hai come session id ABCDEF, allora io - venendo a conoscenza di quell'id - posso usarlo e navigare sul sito come se fossi te.

Puoi aumentare la difficolta' di impersonare un altro utente aggiungendo controlli su IP e version del browser, ma di sicuro non c'e' nulla.

Il punto fondamentale e' quel "venendo a conoscenza di quell'id", cosa per cui non basta un "utente pratico" ma modalita' di attacco abbastanza sofisticate (ed in genere non attuabili).