Matsumoto @ Spと申します。 > IPA、cookieの利用および"secureモード"で発行することを推奨 > http://internet.watch.impress.co.jp/cda/news/2003/08/11/112.html >> 著名ネットショップにcookie盗聴による個人情報漏えいの欠陥 > http://internet.watch.impress.co.jp/cda/news/2003/08/11/115.html 1年ほど前にある仕事の関連で同様の調査をした事がありますが、 非常に多くのサイトでこのような問題をかかえていました。 しかし、IPAが言うように既にあるショッピングサイトでsecureモード でのみcookieを送信するとなると、根本的に作り直さなくてはならない 部分も多く、大変ですね。 私の場合ですと、SSLに入る瞬間にセッション変数を変更するように しております。phpでの実装は一昔前だとちょっとだけ工夫が必要だっ たのですが、今はsession_regenerate_id()があるので簡単ですね。 SSLをまったく利用しないでセッションハイジャックを100%遮断する 事はとても難しいと思います。色々な可能性を模索したのですが決め 手となる方法を編みだせませんでした。クライアントでjava script が利用できる場合、辛うじてなんとかする方法を思いついたのですが 携帯端末になると、まず無理なんじゃないかと思っています。