Mapleのセッション管理に関して、SSLページにおけるcookieがセキュアでない問題に対しての自家製パッチをkunitさんへメールし、次期バージョンで取り込むとのお返事を頂きました。感謝。

セキュリティー関連はやってもやってもきりがないですが、リクエストごとのセッションID変更とか皆さんどうされているのでしょうか。php-user MLでは対策方法が例示されていますが、まじめにやるとブラウザの戻るボタンを使えないとかかなり問題になる気はします。全てのページをSSLにするという富豪的サーバー運営ができればほぼ解決なのでしょうけど。