Por otro lado, no se si me equivoco, esto de no poder comprobar la session ssl es un agujero bastante grande en la seguridad ... o sea por muy ssl que sea si alguien roba los ssid con las cuales compruebas si el cliente esta logeado, si te lo manda por otra connecion https solo puedes comprobar cequeando los ip y USER_AGENT que tampoco es fiable. Esto a primera vista . repito no se si me equivoco