問題点 CakePHP1.3系ではSecurity.levelをhighに設定するとセッション固定化攻撃対策のためのセッションIDの再作成(regenerate)が行われますが、その際にhttps→httpというページ遷移を行うとセッションが切れてログアウトしてしまいます。 理由はhttpsでアクセスされた場合、(Security.level等の設定に関係なく)CakeSessionクラス内でiniを書き換え自動的にsecure属性を付加しているからです。 // cake/libs/cake_session.php 475あたり if ($iniSet && env('HTTPS')) { ini_set('session.cookie_secure', 1); } このため、regenerateされたタイミングで発行されたセッションクッキーは次にhttpのページが表示された際にサーバー側