セキュリティに非常にうっさい職場*1なのだからかもしれないが
世の中のセキュリティの無頓着さに驚くことが多い。

Webアプリケーションは特にcookieの扱い、特にサブドメインを利用することで自らをcookiemonsterの脅威に晒してしまう可能性が高い*2
できる限りcookieは単独のドメインで利用するよう明示的に宣言することが望ましいとぼくは考えてる

パスワードリマインダーも一通のメールが外部に盗聴されただけで全て台無しになるサービスが世の中には多く存在している現状には閉口する
できる限り情報を細分化し一通もれた程度ではなんとも無いシステムを作るべきだろう
その際、メールアドレスは不変のものではないという認識をお忘れなく、この前提を見逃すことが実は結構多い

常識だと思ってたことも、あまり常識ではないということか。肝に銘じよう