危険なのはあたりまえだが

HTTP_X_UP_SUBNOをセッションIDにしているケータイ向けサイトも多いらしい
セッション変数は誰にもわからないIDにすべき
VadafoneのuidでもDoCoMoのUIDでも同じ
これはトラッキング用の値！

PHPやJavaのsessionIDのパターンとかって誰か調べてるのかなあ？
ある程度会員数がいて、ExpireなかなかしないサイトへのBirthday Attackの可能性というか…