~これは個人的なメモです~ 参考ページ: http://d.hatena.ne.jp/seto-san/20091104/1257328931 http://q.hatena.ne.jp/1095584788 1.URLが同じホスト名でも、httpとhttpsではcookieでのセッションIDの受け渡しは自動的に行われない。 2.httpでは通信が盗聴される可能性があるため、管理機能へログインしたセッションIDをhttpで送受信するべきではない。 3.対策→httpとhttpsで別セッションIDを使用する。 (1)httpにてセッション作成し、ログインの際にform等でhttpsにhttp専用のセッションIDを渡す。 (2)ログインできたらhttps専用のセッションを開始し、セッションIDを取得したらいったんクローズ。