SSL使えば、クライアントが入れ替わってないか判別できるんだよね。
その場合でも、同じセッションID使われたら、特別な処理をしないかぎり、セッションハイジャックってできたりするの?

とりあえず環境は Apache2.x + PHP5.x あたりと仮定して。