las sesiones de php originalmente son sumamente sensibles al robo
un ejemplo simple para explicar esto, inicia sesion en (ej) chrome a tu pagina, presiona f12 para abrir la consola de comandos escribe
document.cookie
esto se devolverá un valor como
PHPSESSID=ert9aj1m97cuns786sbu18l8d1
abre otro navegador (puede ser internet explorer por razones de prueba), en ie presionas f12 para abrir la consola, presionas donde dice "script" y abajo a la derecha escribes
document.cookie='PHPSESSID=ert9aj1m97cuns786sbu18l8d1'
al refrescar la pagina, verás que estás logeado!
felicitaciones, acabas de aprender a robar una galleta! XD
para evitar esto puedes hacer lo siquiente
en las variables de $_SESSION agregas de las variables del servidor ($_SERVER)
REMOTE_ADDR
HTTP_USER_AGENT
con esas 3 las comparas siempre, esto aunque no es infinitamente infalible es bastante pesado de superar para muchos y requeriría el atacante estar en la misma lan para poder realizar un ataque
hay más metodos, pero los dejo a google para que los busques