Session-Hijacking ist meines Erachtens möglich, wenn den Angreifern Cookie + sid + Token bekannt, und das Token noch nicht abgelaufen ist.
Das Pragma '-ip_match' kann das aber bei CGI::Session einschränken.