前回、「auのSSLでのCookieの挙動がおかしい - maru.cc@はてな」というエントリを書いたところ @suzukiさんから次のような発言をいただきました。 http://twitter.com/suzuki/statuses/809076312 @maru_cc https+Cookieでのセッション管理にはsecure属性付けようよ説が基本とのこと http://www.ipa.go.jp/security/ciadr/20030808cookie-secure.html http://www.ipa.go.jp/security/ciadr/20030808cookie-secure.html (一部抜粋) SSL/TLS でクッキーを使うときはsecure 属性を付けるのを基本とする ・方法 A: すべてのページを https://...にしてセッション管理用のクッキーに