mixi のセッション管理 Cookie

これまで mixi では BF_SESSION という Cookie でセッションを管理していましたが、この Cookie の値は、ユーザIDを含んでいるうえ、ログアウトしようがパスワードしようが値が変化しない固定のものでした。そのため、何かのきっかけで一度 BF_SESSION の値が第三者に漏れてしまった場合、簡単に第三者がそのアカウントを乗っ取ることができました。そして、その場合、正規の利用者がパスワードを変更してもアカウントの乗っ取りを防ぐことはできず、アカウントごと廃棄するしかなかったのです。

今回、BF_SESSION に加え、BF_STAMP というログインごとにランダムな値の Cookie が発行されるようになったため、アカウントの乗っ取りの危険性は軽減しました。

また、BF_SESSION についても、末尾に自動ログインの有無を表す 0 または 1 が付加されるようになりました。