徳丸 浩:ログインが永続的に続くからと言って、それが理由でセッションハイジャックの原因になるわけではありません。ログインタイムアウトを設定する理由は、何らかの理由でセッションハイジャックされる可能性がある場合に、実際に影響を受ける確率を減らす作用があります。 たとえば、反射型のクロスサイト・スクリプティングを例にとると、利用者が罠サイトを閲覧した際に、罠を経由して攻撃対象のサイトにリクエストが飛ぶわけですが、そのタイミングで攻撃対象サイトにログインしていなければ、影響を受けることはありません。こまめにログアウトすると、このように、セッションハイジャックに至る脆弱性があった場合に、影響を受ける確率を減らす作用があります。 Amazonを例にとると、確かにセッションの保持時間はかなり長いですが、他の手段で攻撃の緩和策がとられています。たとえば、Amazonはクレジットカード情報を保存する機能がありますが、登録済みでない新しい送付先を指定すると、あらためてクレジットカード番号の入力を求められます。これは、セッションハイジャックや不正ログインがあっても、登録済みのクレジットカード情報で買い物をされることはできるだけ避けられるようにするための仕様であると考えられます。 また、昔のAmazonは、ログイン状態は永く保持されていました（これは今も同じ）が、重要度の高い操作をする際に改めてパスワードを求めていました（再認証と呼ばれます）。これは、セッションハイジャックの緩和策であろうと推測されます。しかし、この仕様は、かなり前に廃止されたようです。おそらく、現実の取り引きと悪用事例などの統計から、再認証の効果とユーザーへの影響を比較して、利便性を損ねるほどの効果はないと判断されたのでしょう。 ということで、Amazonのような巨大なサイトの場合は、表面的なセッションの有効時間「だけ」を見てもその真意は分からない一方で、仕様の細かい変遷とその裏にある「意図」を推測すると興味深く、また非常に参考になります。

徳丸 浩:まず、「学校で習うことは全て真実なのだ」という意識は捨てた方がよいと思います。 これは情報に限らず、他の科目でも言えることです。教科書が間違っていることもあれば、教師が間違ったことを教えるケースもあります。 分かりやすいところでいえば、歴史ですね。私が中学・高校の時代に習ったことのいくつかは、定説が変わり、「昔習ったことは間違いだった」という内容は結構あります。 しかし、学校で習うことが無益であるとか、有害であるなんてことはなくて、非常に有益であったと思っています。学問は日々進化しているのですから、時代を経て「あれは間違いだった」ということはありえることですし、「間違ったことは習いたくないので、完全に落ち着いてから習いたい」というのでは、いつまでたったも勉強を始めることはできません。 また、初学者向けに単純化して教えることもあり、「学問的に言うと間違い」なんてこともあるでしょう。だからと言って、初めから学問的に厳密なことを教えると、脱落者が続出するかもしれないので、意図的に単純化している場合もあるでしょう。 情報に関しては、情報自体の歴史が浅くまた変化が激しいことや、また、中学・高校生に情報を教えることについてはもっと歴史が浅いので、教科書や教師の側で色々発展途上ということはあると思います。 一方で、情報の教科書を読んだ人の感想として、「なんて素晴らしい、自分が高校生のときにこれを習いたかった」と言っているITエンジニアも多いのです。 ということで、ミクロで見れば間違っていることもあるだろうが、マクロで見れば、それを習うことは非常に有益であって、それは情報に限らず、全ての科目に言えることですが、情報は歴史が浅く進歩が早いぶん、それが相対的に目立つのだと思います。 > 徳丸さんは本や記事の執筆などでアウトプットをする際に、書いてある内容が本当に正しいかどうかの検証はどのように行いますか？ この箇所ですが、「書いてある内容」は、執筆にあたって読んだ参考文献（書いてある内容=インプット）のことを指しているのでしょうか、それとも「自分が書いた内容（アウトプット）」を指しているのでしょうか。 まず、インプットの方ですが、私は「書いてあることを覚える」というやり方は基本的にしていません。なぜそうなのかを徹底的に考えること、プログラムを動かしたり自分で書いたりして実地に検証することなどを通して、体系的に理解することを試みます。その過程で、「本にはこう書いてあるが、実際には違うのではないか?」という疑問を持つことは多いです。そこで、「実際には違う」ことについて仮説を立ててみて、その仮説を立証するための方法を考えます。情報系であれば、プログラム（概念実証コード=PoCと言います）を書いて検証できるところがよいですね。あるいは、詳しい人の記事を読んだり、YouTube動画を視聴したりします。いずれによ、書いてあることを鵜呑みにするのではなく、なぜそうなるのかを常に考える習慣をつけるとよいですね。 アウトプットについては、まずは小出しにアウトプットしてみることにしています。書籍に書いた内容が間違っていたら修正するのは大変ですし、YouTube動画も部分的な動画修正はできないので、致命的な間違いがあれば、投稿し直しになってしまいます。なので、Qiitaや自分のブログに書いたり、勉強会などでしゃべって「反応を見る」わけですね。いけそうだと思えば、書籍など、より重たいメディアに書くわけです。幸い、私の書いたものは多くの方に見ていただけるので、間違っているとたちまちマサカリが飛んでくるので、検証するには恵まれた環境です（震え声）。 ということで、まとめると、 * 学校で習うことは時々間違っている * それにもかかわらず、学校で学ぶことは非常に有益である * 正しさを検証するには、考えること、試すこと、書いてみること * 間違いを恐れないこと が大切かと思います。