[PHP-users 8780] セッションID とセッションの安全性について

[zaki]

zakiと申します。よろしくおねがいします。
apache1.3.26+php4.2.1でセッション使って開発してます。

質問(1)
セッションIDを透過的に渡してるんですけど、
php.4.2.1でソースからconfigureするときに、「--enable-trans-sid」スイッチがないみたいで、
php.iniみたら、最初からtrans-sid=1になってるんですけど、
これはデフォルトで透過的に渡すようになってるんですか？

質問(2)
frameを使って画面２分割にして、frameAのフォームボタンをして、frameBにセッションID渡そうとするんですが、
POSTで透過的に渡せずに、なぜかGETで渡っちゃうんですけど、
($_POSTは空っぽで、$_GETにPHPSESSIDがはいってる状態です。)
これは仕様なんですか？
もしPOSTで渡せるのであればヒントをいただきたいです。

質問(3)
最後にセッション自体の安全性についてなんですが、
セッション盗まれるケースとかそんなに多いものなんでしょうか？
自分のサーバのテストしてみたいので、攻撃手法・ツールとかがあれば教えていただきたいです。

以上になります。よろしくお願いします。

------------------
zaki@qoo.megax.ne.jp