Ja, ich halte es auch für eine gute Sache, den zusätzlichen Session-Eintrag hinzuzufügen. Das und auf jeden Fall auch ein eigener Session-Save-Path im eigenen Verzeichnis außerhalb des Docroots. Das ist dann so sicher wie die Zugriffsrechte des Dateisystems des Servers. (Wenn die nicht passen, ist eh Land unter.)
Ich habe inzwischen auch herausgefunden, was mich so verwirrt hat. Normalerweise werden Dateien bei mir von PHP als Nutzer phprun:nogroup erstellt -- und zwar von jedem Webspace-Account auf dem Server. Das heißt, das von dir angesprochene Session-Hijacking-Problem besteht definitiv, wenn man den Save-Path nicht anpasst. Als ich eben nachsah, gehörten aber alle von PHP erzeugten Dateien (hauptsächlich Caches) dem User mermshaus:mermshaus. Daher dachte ich, der Hoster hätte das irgendwie umgestellt und PHP liefe nun unter dem Benutzernamen. (Was gut für das Session-Problem wäre, aber schlecht für etwaige PHP-Sicherheitslücken. So kann PHP nämlich nur die Dateien verändern, die phprun gehören, wie es auf nem lokalen Linux standardmäßig auch ist.)
Die Dateien gehörten aber bloß deshalb mermshaus:mermshaus, weil ich sie beim Synchronisieren mit meinem FTP-User hochgeladen hatte und sie auf 777 standen und PHP sie deshalb nicht neu als phprun:nogroup erzeugen musste, sondern einfach in die vorhandenen Dateien schreiben konnte.
Dann hatte ich eine sehr amüsante "Wenn hier auf dem Server alle von PHP beschreibbaren Dateien phprun:nogroup gehören, können mir dann andere Leute nicht per PHP meine Daten überschreiben, wenn sie den absoluten Pfad wissen?"-Stunde, bis mir einfiel, dass es Konfigurationseinstellungen für open_basedir und disable_functions gibt.
Puh.
@trix0matrix9: Entschuldige bitte das "Kapern" des Threads... ;)