TENGO ENTENDIDO que session funciona del lado del servidor, y que hay un enlace identificador entre el cliente-servidor.
Si en tu red no hay hacker todo debería ser seguro, también si no tienes troyanos, virus, etc...
Un hacker puede obtener por "fuerza bruta" esa identificación pero es casí imposible ya que cada vez que renuevas sesion que es cuando usas session_start cambia esa identificación.
Talvez estoy diciendo disparates, pero tengo entendido que es mas o menos así.
de todas formas, creo que tienes 3 opciones:
1. identificarce constantemente
2. sesión
3. cookies