Du übernimmst das Konto und sperrst den User dadurch aus. Wenn du durch die übernahme den User aussperren kannst, sollte es doch auch andersherum gehen?

Ich verstehe leider nicht, was du damit sagen willst.

Die Übernahme der Session führt nicht notwendig zur permanenten Übernahme des Kontos. Um eine neue Session zu erzeugen, muss der Angreifer immer noch die Login-Credentials habe. (Die E-Mail-Adresse sollte sich natürlich nur mit Passwort ändern lassen, sonst kann der Angreifer einfach die Password-Recovery-Funktion nutzen.)

Wo ist der Vorteil, wenn ich eine feste Session-ID nutze?

Schrieb ich doch: Dass der User ausloggen kann, nachdem Session-Hijacking passiert ist, und damit die Session zerstört.

Mathias