In article <466F66C2.4050403 / sarion.co.jp>,
  "NAKAMURA, Hiroshi" <nakahiro / sarion.co.jp> writes:

> まず読んだ感じ、etc.と入っていることから、それほど厳密に述べようとしてい
> るものではないという印象を受けました。また、「for HTTP cookies」も同様で
> す。「for generating session key in HTTP cookies」のほうがいいかも?
> 厳密さは置くとすれば、nonceについても、nonceの生成方法の候補として挙げる
> のに問題はないと思います。

そういえば session key 以外の cookie は関係ないですね。

> 確かにnonceをreplay attackから守るためには、他にいろいろ小技が要ります
> が、「statelessにnonceを生成する方法の1つとして適している」は真です。
> これに対して現行のrandはseedがglobalに1つしかなく、「起動するたびに同じ
> 値となり、nonce要件を満たさない場合がある」という問題がある。「stateless
> にnonceを生成する方法の1つ」として、SecureRandomはこれよりはるかによいこ
> とから、ドキュメントに書くのもよいことだと思います。

十分であり、オーバーなのであろう、と感じています。

オーバーな手段を勧めるのは誤解を生みそうな気がするので触れな
いことにしました。
-- 
[田中 哲][たなか あきら][Tanaka Akira]