クッキーにメールアドレスを保存することはセキュリティの観点から問題ないと思いますか? (クッキーは暗号化されており、httpOnly、secureを適切に設定し、10分程度の有効期限にする場合) セッション管理をCookieStoreと呼ばれる方式にすると、まさにそういう状況になります。CookieStoreはセッションの中身を暗号化してクッキーそのものに保存する方式であり、たとえばRuby on RailsだとデフォルトのセッションストアがCookieStoreとなります。この状態で、セッション変数にメールアドレスを保存すると、結果としてクッキーにメールアドレスを暗号化して保存したことになります。 CookieStore方式の問題点は、中身が暗号化されていても、クッキーが盗まれたらそれをブラウザに゙セットすることでセッションが再開でき、保存されているメールアドレス等が画面表示されることで