tominagaです 濱井さん、ありがとうございます > 言い方がキツイですけど、「http から https のほうにセッションを渡す」 > という考えが間違っていると思います。 > httpは盗聴やなりすましが比較的容易なので、httpsに移行してから > セッションを開始すべきです。 今、作っているのはショッピングサイトなんです。 httpのほうで持っているセッションの値は商品の情報で、 個人情報は持たさないようにしています。 単純にユーザが商品をカートに入れて、 その商品がいつでも確認できたらいいだろうなあと思って、 セッションに登録して情報を持ち回ろうという発想です。 う〜ん、安易過ぎたのでしょうか・・・?