今日、対向のサーバをRails2.0をRelease Candidate 2でiアプリを作っていたらSession Fixation関連のエラーが発生。そこで気がついたけど、Rails 2.0では一部のsession fixationに対しても対策が講じられているようですね。やーどんどん便利になっていくRails。
cookie以外でsession変数を渡そうとすると以下のエラーを発生させてRailsが止まります。

ActionController::CgiRequest::SessionFixationAttempt

ただし、携帯などcookieを使えない端末では問題が発生する場合があります。jpmobileのメーリングリストでもその話題が上がってました。このエラーが出て困る場合は、コントローラで、

session :cookie_only => false

などと設定するといいみたい。うちもiアプリで問題なくなりました。