Pentru securitate sporita, cel putin intr-un mediu shared, iti doresti probabil sa definesti un director custom pentru salvarea sesiunilor, nu default-ul (/tmp sau care o fi). De asemenea timpul limitat de pastrare al sesiunii.
Cat despre User Agent, probabil ca cel care stie sa se injecteze in traficul facut de un anumit browser stie sa disimuleze si User Agent, Referer si alte chestii. Yahoo, spre exemplu, se protejeaza la asa ceva cerand inca odata parola prin https pentru chestii mai sensibile, iar aplicatiile bancare folosesc https all around.