SSL用のsecure属性付きのCookieセッション

SoftBankは、そもそもSSL領域のCookieを、http領域で取得できないので、ある意味secure付きのような動作になります。

auの仕様は、secure属性を付ければ、http領域でCookieは送ってきません。
ですので、SSL領域だけで使用する、secure付きのCookieを使用したセッションは問題ないことになります。

非SSL、SSL共通のsecure属性無しのCookieセッション

こちらが大問題。

まず、SoftBankはこういった使い方が出来ません。ドメインが違うから、SSLと非SSLで Cookieを維持することが出来ませんが、SoftBankの場合には、そもそも共有できないので、別の方法を模索する必要がありますが、ある意味「使えない」だけだとも言えるかと思います。

一方、auの場合には、一見共有して使えているように思えるところが落とし穴です。
例えば、SSL領域で以下のような Cookieを使用したセッションIDを振り出したとします。

• 1. secure属性付きの SSL用のCookieセッション
• 2. secure属性無しの 非SSL/SSL共有のCookieセッション

2の非SSL/SSL共有のCookieセッションは、前回書いた仕様の通りに、非SSL領域からも参照できますが、次のような問題があります。

• 非SSL側で、Cookieの変更や破棄が出来ない、同様に有効期限などの変更も出来ない
• SSL側での端末Cookieの有効期限が切れた場合、非SSL領域で新しいCookieが振り出されてしまう
  • 非SSL領域で振り出された新しいCookieは、SSL領域で取得できない

実際にアプリを作る時に、結構致命的な感じがするのですが、いかがでしょうか？