Indem die Session-ID schon im nächsten Moment nicht mehr gültig sein kann, da der Eigentümer schneller geklickt hat, als der unrechtmäßige Zweitbesitzer.

Das Ganze ist dann eine Race-Condition.

Ja, eben – zugunsten des Angreifers.

Wie gesagt: Der Angreifer wird das automatisieren können, indem er viele Requests startet. Der unbedarfte Nutzer wird beim ganz normalen Surfen auf der Website den kürzeren ziehen.

Da ist ein Denkfehler im System.

Wie gesagt, dass mehrere Sessions pro User existieren können, ist im Jahr 2014 ein wichtiges Feature. Alle Single-Sign-On-Dienste unterstützen das.

Der rechtmäßige Besitzer IST DANN "AUSGELOGGED".

… sofern man den delete_old_session-Flag auf true setzt. Was man tun sollte, sofern man meint, session_regenerate_id könne  Sicherheit verbessern.
http://www.php.net/manual/de/function.session-regenerate-id.php#refsect1-function.session-regenerate-id-parameters

Mathias