yo uso sessionid

al principio penseque podria alterarse pero lo que hice fue contruir un validacion
recogo el ultimo valor de la ip de donde se conecta el cliente y el sessionid, mas el valor del id del usuario

idusurio = 11
sessionid = 23123123
finip= 230

luego que logueo al cliente hago un update de los dos ultimos campos en la tabla usuarios

luego redirecciono a la pagina principal del portal

y en ella puse una rutina de comparacion

si el idusuario es = al que llevo en el redirect
si el sessionid es = al que esta en la base de datos actualizada
y el finip = al que esta almacenado le muestro la pagina

si no lo redicciono al error que dice que esta tratando de acceder con credenciales no validas.

si otro entra al sitio obtienen otro session ID y al compararlo en la base antes de desplegar la pagna lo saca por no se el correcto, dado que aveces ni uno sabe cual ip tiene cada usuario en la intranet, mucho menos en internet.

pues

no me ha dado lios con nada....

suerte