cookieを利用するときの注意点
php.ini(もしくは.htaccess) で以下の設定してれば問題ないと思っていましたが、とんだ勘違いでした。
php_flag session.cookie_secure On php_flag session.cookie_httponly On
マニュアルはよく読みましょうということで
setcookie ( string $name [, string $value [, int $expire = 0 [, string $path [, string $domain [, bool $secure = false [, bool $httponly = false ]]]]]] )
$secure、$httponly を true にしないと意味ないです。
session.cookie_secure
session.cookie_secureは、 セキュアな接続を通じてのみCookieを送信できるかどうかを指定します。 デフォルトは、offです。 この設定は、PHP 4.0.4で追加されました。
session.cookie_httponly
クッキーに対して、HTTP を通してのみアクセスできるようにします。 つまり、JavaScript のようなスクリプト言語からはアクセスできなくなるということです。 この設定を使用すると、XSS 攻撃によって ID を盗まれる危険性を減らせます (が、すべてのブラウザがこの設定をサポートしているというわけではありません)。