Переведя сайт на работу по протоколу https, можно повысить его защищенность, обеспечив передачу кук только по защищенному соединению. Для этого в php есть флаг session.cookie_secure
. Штатно флаг устанавливается в php.ini.
По умолчанию значение Off, так что есть смысл установить On.
В случае с Apache, если нет доступа к php.ini, флаг можно установить в .htaccess:
<IfModule php5_module> php_flag session.cookie_secure On </IfModule>
Можно воспользоваться и функцией session_set_cookie_params
.