Hola , evidentemente un ssl encriptara las comunicaciones, pero tal como lo veo , si roban la cookie del usuario pueden suplantar la session ( lo que se conoce como hijacking ), para ello hay tantas técnicas como imaginación tengamos.(otra cosa es que sea mas o menos efectivo).

Lo mas fácil que se me ocurre es que podrías capturar el user agent del usuario que visita la página y comprobar si existe session y si existe si es el mismo user agent,tampoco es que sea muy seguro porque el user podría falsear las cabeceras, luego podrias capturar la ip cuando se abre session ... y comprobar las 2 cosas pero también es falseable con proxies.

Un saludo!