Фиксация сеанса, что если новый JSessionId будет взломан после входа пользователя в систему?

При фиксации сеанса идентификатор старого / предыдущего сеанса жертвы известен атакующему. Для обработки фиксации сеанса мы создаем новый сеанс после аутентификации пользователя.

Что делать, если злоумышленник читает идентификатор сеанса пользователя после аутентификации пользователя. как справиться с этой атакой?