web/セッションIDの固定化について、ここに記述してください。

セッションフィクセイション脆弱性の影響を受けやすいサイトとは 徳丸浩の日記 

以下に「セッションIDを利用者に送り込む」手法について説明します。
...

地域型JPドメイン名や都道府県型JPドメイン名の上のサイトに
   XSSやHTTPヘッダインジェクション脆弱性がある場合、
 同じ都道府県に有効なCookieをセットして、
  同じ都道府県の地域型JPドメイン名や都道府県型JPドメイン名のサイトに
  セッションフィクセイション攻撃を仕掛けることができます。

影響を受けやすいサイトの一部

「サブドメイン形式のレンタルサーバー」も気になりますね。 

「セッションIDが送り込まれてもセッションハイジャックはされない」ように対策すること