藤岡です。 すみません、書いている途中で送信してしまいました。 > そもそもの問題を再現できていないので > 勘違いしてしまっているかもしれませんが、 > 存在しないはずのセッションIDを与えられた場合の > cgi/sessionの挙動としては前者のほうがよさそうに > 私には思えます(少なくとも今のところは)。 > > 本来ないはずのセッションであることを > アプリケーションが知ることができたほうが良さそうなのと、 > 手間とはいってもrescueするだけだからです。 > 正しく動作してくれるんだったらこれでもいいかもしれません。 私も手元のCGIの動作を全部見直さなければなりませんが。 > ただ、仕様変更ではありますから > このまま採用するとした場合であっても > どこでこの変更をいれるかという点は気になるところですね。 > # ruby_1_8が適当かどうかとか。 > うーむ、勝手にsession_idをふられてしまうことが セキュアじゃないということがちょっと理解できないですね。 勝手にふられても大丈夫なように作るのが普通じゃないかなと 思うのですが。わかっていないのは私の方かな。。 -- Takeyuki Fujioka Fingerprint = 8530 5FC7 F678 4B14 8886 2B76 7550 F1E9 336A 79F1