• 経産省、ショッピングサイトなどでの Cookie盗聴を警告 - http://japan.internet.com/ecnews/20030812/4.html

SSL＋セッションCookieを使ったシステムのセキュアさに関しては、ほぼ無条件に信頼しがちだったんで、HTTPとHTTPSを行ったり来たりする場合にセッションCookieが経路上で盗まれる可能性に関して考えたことがなかったなー。まあもともと、経路上で情報を盗まれるパターンに関して、あまり真面目に考えたことがなかったってのもあるけど。経路上での盗聴って、どの程度対策しておくのが基本なんだろうなー。XSS対策はいつでも考えておくべきだと思うんだけど。

ちなみにWeb XPでは、基本的にPHPのセッションCookieを利用しつつ、n％の確率（設定による。デフォルトは0％）でセッションIDをregenerateしつつ、さらにIPアドレスn桁マッチチェック（設定による。デフォルトは未チェック）と、HTTP_USER_AGENT文字列のチェック（設定による。デフォルトは未チェック）を行うことでセッションIDを保護していたんだけど、さらにHTTPSがonの場合にセッションCookieがsecureじゃなかった場合は、強制的にセッションIDをregenerateしてsecureなCookieを吐き直すようにした。これでほぼ安全かなー。