karintoのkarinto_sessionはCookieStoreベースなセッション管理を行うことができるが、Cookieに値を保存するので気を付けなくてはいけないことがいろいろある。

• 値はユーザーが閲覧可能
  • 見られたら困るデータは入れない
• 過去のCookieを保存しておけばセッションの状態を任意の時点に戻すことができる
  • 影響の大きい状態変化を伴うような値は保存しない
  • 気になるなら生成時刻を保存して比較するなどすれば対策可能だがそこまでやる必要はあるだろうか

認証機能付きのアプリケーションで、普通にユーザーIDやちょっとしたメッセージを格納するぐらいならCookieStoreで十分だと思う。CookieStoreで問題があるようなら、むしろアプリケーション側の設計を見直した方がいいケースが多いかもしれない。