Moin!

-Ist dieses Login-Verfahren halbwegs sicher?

Kommt drauf an, was Du machen willst. Für den Login in einem Board sicherlich alleine ausreichend. Einige empfindlichere Dinge wie das Onlinebanking sollte man noch auf andere Techniken zurückgreifen und die Übertragung verschlüsseln (z.B. mit SSL).
Andernfalls wäre es theoretisch möglich, eine Session zu "stehlen". Mit Hilfe von Sniffern könnte man (möglicherweise) die gesamte Kommunikation zwischen Browser und Server mitlesen. Sessions entführen / Spoofing ist prinzipiell gar nicht so schwer.
Wenn es also wirklich auf Sicherheit ankommt, weil hinter dem Login sensible Daten bereitgestellt werden / einzusehen sind, dann verschlüssel die Verbindung. Ansonsten bräuchte man auch nicht mal eine Session stehlen, wenn man nur mitlesen will...

• Kann man eine laufende Session besser schützen und ist das überhaupt nötig?

Sessions sind primär eine Methode, um den User wiederzuerkennen (eine eindeutige Indentifierung ist per HTTP ja nicht so ohne weiteres möglich), aber nicht, um etwas besonders sicher zu machen.

Gruß, rob