== http/セッションID ==

徳丸本 P.47

セッションIDに求められる条件
  1.  第三者がセッションIDを推測できないこと
  2.  第三者からセッションIDを強制されないこと
  3.  第三者にセッションIDが漏洩しないこと

1,3 は同等の内容にも思えるが、著者の意図は違うらしい。
  * 1 は生成する乱数の質を指している。
  *  3 はcookie 発行の際の属性指定の不備などを指している。
       盗聴、XSS, サーバ側の脆弱性、その他も。

盗聴はHTTPSを使うことで防ぐことにする。

-- ToshinoriMaeno <<DateTime(2012-08-06T15:52:36+0900)>>