Denn wenn du bislang kein SSL verwendest, können deine per Session-Login zugänglichen Daten nur von geringem Wert sein - da ist es dann absolut nicht schlimm, wenn das geringe Restrisiko besteht, dass ein Benutzer seine noch aktive Session-ID per Referrer an andere Server weitergibt, und diese sofort für einen Angriff genutzt wird.

Benutze SSL, aber wollte eben irgendwie die aktive Session noch absichern.
Es sind einfach nur die Benutzerdaten gesichert (Adresse etc) auf die aber direkt über die Session zugegriffen werden kann
Deswegen wäre die Überprüfung mit der IP ideal gewesen..