http://japan.cnet.com/news/sec/story/0,2000056024,20379240,00.htm
＃SSLの実装には問題が2つある。1つは、ログインページが終わると多くのサイトがSSLを使用していないこと。
＃このため、利用者のクッキーがネットワーク上で傍受される恐れがある。
＃もう1つは、正しいユーザー名とパスワードを使っているマシンを特定するためのセッションクッキーが、
＃「secure（セキュア）」と「insecure（非セキュア）」という2つのモードを持っていること。
＃Perry氏によって公開された脆弱性は、 SSLを使用しようとしているが、クッキーに「セキュア」のフラグを
＃付けていないサイトを標的にしている。この脆弱性を利用すると、たとえユーザーが「https」を使おうとしても、
＃攻撃者はローカルネットワークにアクセスしてクッキーを入手することができ、
＃それを使ってウェブの閲覧者になりすまして電子メールのアカウントや銀行口座などのサービスを利用することを
＃可能にする
＃Amazonは決済に関連した通信には暗号化を用いているが、購入履歴やレコメンデーションなどには用いていないという。
＃Amazonの関係者は、セキュリティ対策についてはコメントしない方針だと回答した。