Återigen. Det finns mycket stora ISP som faktiskt ändrar subnet mitt i sessioner. Återigen kan jag peka på AOL som ett bra exempel. Det finns fler. Därmed måste man vara medveten att detta förr eller senare kan komma att sätta krokben för någon (eller flera) användare. Sedan får man själv sätta det i relation till vad man uppnår.
Dessutom förstår jag inte vad en "serverside-kom-ihåg"-funktion innebär. Server-side till skillnad mot vad? Sessioner hanteras normalt genom att man skapar en cookie med ett värde (sessionsid) som unikt identifierar en unik user agent (en användare/webbläsare). Cookien lagras hos klienten. Det värdet associerar man med viss data man sparar på servern, antingen i filer, arbetsminne eller databas. Att spara icke-kritisk data direkt i en cookie är ok men inte kritisk data som sessiondata eller inloggningsuppgifter. (Det andra sättet är att lägga ett sessionsid direkt i url:en men det är en sämre lösning och diskuteras inte).
Något annat som kan diskuteras är att många webbläsare har funktionalitet för att komma ihåg formulärdata och därmed kan fylla i ett loginformulär åt dig. Det har inget med sessioner att göra.
Jag tror nog det är läge att läsa på lite. Exempelvis är Chris Schifletts genomgång väldigt grundlig.
http://shiflett.org/articles/the-truth-about-sessions
http://shiflett.org/articles/session-hijacking