とみたです。

CGI::Session を色々調べていたら気になったので…。

1.8.1 の cgi/session.rb で、Session::create_new_id で 
md5.hexdigest[0,16] としていて、MD5 のハッシュ値を半分にして 
session_id を作成していますが、これでも一意性は保たれているのでしょうか。

で、1.8.2 では、それをさらに Digest::MD5.hexdigest(id)[0,16] で半分に
して、ファイル名を生成していますが、やはり一意性は保たれるのでしょうか。

暗号化とかには詳しくないので、変なこと言ってたらすいません。

あと、1.8.2 の FileStore で prefix のデフォルト値が 1.8.1 と変わってま
す(1.8.1 では '' で、1.8.2 では 'cgi_sid_')。普段はファイル名は意識す
ることはないと思うのですが、期限切れのファイルを消すような処理で、互換
性の問題があるような気がします。

-- 
とみたまさひろ <tommy / tmtm.org>