A Day in the Life

はてなのセッション

つまり、Cookie取得されると簡単になりすましできちゃうよと。はてなとmixiでIPアドレスとブラウザとマシン構成変えてCookieだけは同一値放り込んでやってみたけど、ふつーになりすませちゃうんだなー。
コレ系のAuthって、IPアドレスとか、なんだかのある程度固有の物でチェックしたりしないんね。長時間ログインしっぱなしのって、Cookie漏洩の心配があるから、そうゆーチェックも行った方がいいと思うんだけど。
あとCookieだけでなりすませると、XSS脆弱性が一つでもあってタグ埋め込みができちゃうと、それだけでかなりヤヴァいんでどうにかしたほうが良いなと思った。