Tach!
Ingteressant und sicherheitstechnisch relevant ist u.a. die Frage, wer die Session-ID initial vorgibt. Auf diese Frage wird in Eurem Artikel gar nicht eingegangen.
Warum das relevant und interessant sei sollte, darauf gehst du in deiner Anmerkung auch nicht ein.
dedlfix.