Acredito que a forma mais fácil de ter session hijacking do lado do dev é quando ele intencionalmente decide usar um ID facil (como os ID autoincremetais) como ID de sessão.

Nesse caso ele poderia usar ID's semi aleátorios ou totalmente aleatórios como:

Eu poderia citar outros tipos de ID como usar md5 ... e outros hashs mas como eu não sou tão informado assim neste assunto passei os que são realmente usados em produção em grandes empresas e que seria a melhor adoção.

Atenção: Não use qualquer ID, principalmente não use qualquer HASH pois pode haver chance de colisão

RavenaStarhá 8 meses

Bom ponto, porém infelizmente a grande maioria desses ataques também ocorre quando o usuário instala algum app malicioso (malware) em seu dispositivo. Quando o app malicioso tem controle sobre o dispositivo, é quase inevitável o roubo do ID da sessão.

Telma324há 8 meses
Concordo plenamente com esta afirmação. Quando um usuário instala malware em seu dispositivo, ele inadvertidamente dá aos invasores acesso aos seus dados pessoais. É apenas uma questão de tempo até que um ID de sessão seja roubado. É muito importante ter cuidado ao baixar aplicativos e arquivos, especialmente de fontes não confiáveis. É melhor verificar várias vezes do que gastar tempo e dinheiro para restaurar a segurança mais tarde
Silvia958há 8 meses
Seu ponto de vista é muito pertinente. A maioria dos usuários nem percebe o quão perigoso o malware pode ser. Depois de instalar esse software, eles correm o risco de perder o controle de seu dispositivo e, com ele, todos os dados pessoais. O sequestro de ID de sessão é apenas um dos muitos problemas que podem ser encontrados. Não só é importante ter cuidado, mas também é importante manter seus programas antivírus e sistemas de segurança atualizados.