藤岡です。
すみません、書いている途中で送信してしまいました。

> そもそもの問題を再現できていないので
> 勘違いしてしまっているかもしれませんが、
> 存在しないはずのセッションIDを与えられた場合の
> cgi/sessionの挙動としては前者のほうがよさそうに
> 私には思えます(少なくとも今のところは)。
> 
> 本来ないはずのセッションであることを
> アプリケーションが知ることができたほうが良さそうなのと、
> 手間とはいってもrescueするだけだからです。
> 
正しく動作してくれるんだったらこれでもいいかもしれません。
私も手元のCGIの動作を全部見直さなければなりませんが。

> ただ、仕様変更ではありますから
> このまま採用するとした場合であっても
> どこでこの変更をいれるかという点は気になるところですね。
> # ruby_1_8が適当かどうかとか。
> 
うーむ、勝手にsession_idをふられてしまうことが
セキュアじゃないということがちょっと理解できないですね。
勝手にふられても大丈夫なように作るのが普通じゃないかなと
思うのですが。わかっていないのは私の方かな。。
-- 
Takeyuki Fujioka
Fingerprint = 8530 5FC7 F678 4B14 8886  2B76 7550 F1E9 336A 79F1