森です。林さん、コメントありがとうございます。 > HTTP がステートレスである以上、どのような手段を講じてもセッションハイ > ジャックの対策は確率論の域を出ることはありませんので、正当性の評価として > 十分かどうかは要件次第です。 > 前述の通り PHP の実装で根本的なところをどうこうできるわけではないので、 > SSL を使うなどされた方が良いと思います。 セッションハイジャック関連の対策について、メーリングリスト投稿前に比べ、 いろいろと情報を得ることができましたので、様々なケースを想定しながら、 可能な限りの対策をしていこうと思います。 コメントを頂いたみなさん、ありがとうございました。