Strict Session管理パッチ – yohgaki's blogより
PHPのセッションの動きを見たときに
このクライアントから渡ってきたセッションIDを信じすぎているのが
気になっていた部分ではあったんですよねぇ、、

とりあえずこのパッチでその動きは解消される模様

動作確認できたらこのパッチをあてたい環境は山ほどある、、
でも既に動いてるシステムが多いだけに動けない、、
どこかのタイミングで提案しないと(-_-)zzz....

Hardedned PHP自体を検討した方がいいのかも？