Originariamente inviato da Ratatuia

ovvero, se viene linkata una news con il nome della sessione e il suo id, il visitatore che ci clicca si trova loggato con quel nome e si "appropria" di quella sessione...
ciao,
è uno dei problemi di sicurezza che può capitare se passi l'id di sessione via url.
La soluzione migliore è utilizzare i cookie (come fanno di default le sessioni native di PHP), l'alternativa è mantenere la vita della sessione per pochi minuti (sperando che nel frattempo qualcuno non utilizzi il link) e rigenerare l'id ad ogni accesso (il sistema di sessioni nativo prevede anche la comoda funzione session_regenerate_id)