К сожалению на компе нет IE, что бы проверить как дела сейчас обстоят, но где-то 8 месяцев назад я использовал эту скриптинку, и она требовала разрешения включить модель activeX в IE, само собой Вы понимаете, что если пользователь не увидит сообщение или не разрешит, то Ваши старания напрасны.
По умолчанию session_id — это 32 символьный хеш. У него 37^32 вариантов, как у md5 хеша.
На подбор такой строки при попытке подменить cookie 100 раз в секунду, уйдет у одного компа 5*10^40 лет. Это в худшем случае.
Единственное, что действительно может случиться, так это XSS, когда кто-то выкрадет cookie и пропишет их себе.Поэтому необходимо хешировать что-то «уникальное» для пользователя. Что-то вроде IP, браузера и пользовательского хеша.
