Verschlüssel doch einfach den Timestamp (z.B. mit MD5) und leg' eine Verfallsdauer fest!
Egal wie kurz die Verfallszeit auch ist (unter 1 Stunde wahrscheinlich nicht sinnvoll), die Gefahr, dass die SID in den Logfiles des nachfolgendnen Server landet und dort von jemanden anfgeschnappt und verwendet wird besteht immer.
Ich habe am Anfang noch die IP geprüft und verglichen, ob die IP des SID-Benutzers immer mit der IP des Anmelders (für diese SID) übereinstimmt.
Allerdings mußte ich feststellen, dass einige user Ihre IP während einen Session wechselten.

Ich suche immer noch nach einer Lösung...

Unter den genannten Gesichtspunkten KANN es KEINE Lösung geben!!!
Wenn jemand den Datenstrom fängt, und Dir vorgaukelt, er wäre der richtige User, kannst Du es niemals unterscheiden. Jedenfalls nicht vom richtigen User. Das mit der IP schränkt die Fehler aber schon ein. Und wenn er die IP wechselt, wäre es vielleicht denkbar, auf den IPanfang zu testen, da der Provider meist einen begrenzten IPraum nutzt.

Reiner