楽天のメルマガ個人情報流出問題の犯人を推理する (ラボブログ)
http://blog.spicebox.jp/labs/2008/09/post_97.html

これはハードですねぇ。。。セッションIDに対する警戒度をもっと引き上げないと怖い。
最近はモバイルもセッションIDが不要にできる環境が整ってきたから、まだいいですが、油断してるとはまりますね、これは。
セッションIDのパラメーター名の命名ルールを業界共通にしたりして、そのルールに基づいたパラメーター名は、キャッシュしたりしない的なルールでもあれば被害を抑えられるんですかね。逆に悪用もされそうですが。。。