das problem liegt aber doch gar nicht am vms, oder täusche ich mich da??

schließlich entscheidet der server bzw. php, wie sessions behnadelt und verarbeitet werden und insbesondere, wie die session id, die php zum identifizieren des users braucht, übergeben wird.
dabei gibt es afaik 3 möglichkeiten,
1. per GET variable, wodurch es natürlich zu dem beschriebenen sicherheitsproblem kommen kann.
2. per POST varaibale, was auch nicht 100% ig sicher ist.
3. per cookie, was zwar auch nicht 100% sicher ist, aber total ausreichend und die sicherste möglichkeit.

also bei wem die session id noch per url übergeben wird, der sollte einfach schleunigst seinen server umkonfigurieren:
http://de.php.net/manual/de/session.configuration.php

also umstellen,d ass nur noch session ids per cookie übergeben werden, damit schließt man zwar die user aus, die keine cookies akzeptieren, aber da man in eigentlich jedem browser das für jede seite extra einstellen kann, sollte das kein problem sein, aber danach sollten sich solche sicherheitsprobleme erübrigt haben.

um sessions noch sicherer zu machen (wobei die methode mit den cookies schon ganz schön sicher ist), könnte man zu jeder session id noch die ip des users in der datnebank blegen, dann müsste man zusätzlich noch sich dieselbe ip holen, was auch nicht so leicht zu bewerkstelligen ist.

ganz sichere methoden speichern wikrlich alle infos über den suer ab, also auch die browserkennung etc., nur ist das ziemlcher overkill, gerade was datenbnk abfragen angeht.