Cookieの持ち回りかた(発行するデータ、有効期限)について詳しく説明がされているものが望ましいです。
※”セキュリティホールになるから駄目”という指摘はごもっともなのですが、そこを前向きに対処する方法をご教示頂けると助かります。
http://www.webkoza.com/doc1/cookie_a.htm
Cookieについて
こちらが参考になるかな
SSLとは 【Secure Socket Layer】 - 意味/解説/説明/定義 : IT用語辞典
一番いいのはSSLですが
はてなの場合、name値にユーザ名、rk値(多分パスワード)を
暗号化してオートログイン機能を実装しているようです。
有効期限は10年後になってます。
http://e-words.jp/w/E69A97E58FB7E58C96.html
暗号化とは 【encryption】 - 意味/解説/説明/定義 : IT用語辞典
暗号化は昔はDECが主流でしたが、
今はRSAの方が良さそうです。
http://securit.gtrc.aist.go.jp/research/paper/AIST03-J00017/
Cookie$BEpD0$K$h$k(BWeb$B%"%W%j%1!<%7%g%s%O%$%8%c%C%/$N4m81@-$H$=$NBP:v(B
SSLでsecure属性のcookieを設定すれば良いと思いますが。
URLのところはいろいろ情報がありますが、高木 浩光氏の発表スライドは参考になるかと思います。
http://www.atmarkit.co.jp/fsecurity/rensai/webhole10/webhole01.h...
@IT:Webアプリケーションに潜むセキュリティホール(10)
Welcome to the Java Open Single Sign-On Project