Cita:
Iniciado por Cluster 
Pero el tema de "session fixation" podrías concretar el por qué? .. Bueno, supongo que irá de la mano de XSS
va de la mano en parte, puesto que un ataque xss permitiria conocer el valor de PHPSESSID y hacer que 2 usuarios compartan la misma sesion
como se puede ver en [1], se puede hacer este ataque sin necesidad de que la pagina en cuestion sea vulnerable a xss
en general este ataque se produce porque no compruebas que ya exista una sesion valida, ni regeneras el id de la sesion al momento de asignar los nuevos datos.
[1]
http://shiflett.org/articles/security-corner-feb2004