¿La regeneración del ID de sesión en cada solicitud mitiga la probabilidad de un secuestro de sesión suficiente para que valga la pena implementarlo?
Me imagino que combinar un cheque para REMOTE_ADDR vs REMOTE_ADDR almacenado en las variables de la sesión, junto con un tiempo de espera de inactividad de 30 minutos y un ID de sesión en constante cambio debería mitigar el riesgo a un nivel aceptable.
Además, ¿existen otras preocupaciones con la regeneración de un ID de sesión? ¿Debo destruir explícitamente la sesión anterior para cada nueva regeneración?
Finalmente, ¿volvería a generar el identificador de sesión en cada solicitud un uso demasiado intensivo de recursos en una implementación grande para justificar las ventajas de seguridad?