ライブドアのセッション管理ってどうなっている

あの萌えろーんをやっているライブドアだが、そこのURLはこれである。
http://credit.livedoor.com/IndexAction.do?mediaID=moe1

ところで、２ちゃんねるにこの萌えろーんのぽよよん♥ろっくのイラストによるサイト構成をネタにしたかったのか「正直ライブドアにはあきれた」というスレが立った。そのスレの１に貼られたURLは上記のURLではなく、セッションパラメーターを含んだものであった(下参照)

http://credit.livedoor.com/IndexAction.do;jsessionid=ここにセッションIDの文字列?mediaID=moepadkad

問題はここから始まる。

上記のURLを踏んだ人から次々と「ようこそ、****1さん って誰だよ」と言う書き込みが行われる。しばらく時間が経つと名前が変わって「ようこそ、****2さん」に変わる。また時間が経つと「ようこそ、****3さん」に変わり現在は４番目。どうもライブドアIDらしく、該当するライブドアのブログにも行ける。私はこのスレの１だけ読んでURLをクリックしたら４番目のIDの「ようこそ」が出てしまった。

どうやらセッションID文字列はライブドアのシステムがサーバ側で持っているセッションIDらしく、そのセッションIDを現在誰が使っているのかが萌えろーんのTOPページで丸わかりの様だ。但しこのセッションIDはここのjsessionだけで使われている様だ(確証は無い)。

これはちとヤバイだろ＞livedoor

少なくともこんなシステムで金を借りるのはｵｿﾛｼｽ

追記(17:30)
以下の実験をしてみた。
1.livedoor関係のcookieを全て削除したNetscapeとIEを用意
2.Netscapeでライブドアトップでログイン
3.ブログやメールサイトをうろうろ。ようこそ×××さんが出るのを確認
4.ライブドアトップで「萌えろーん」を検索
5.一番上に出ているスポンサーサイトの「萌えキャラ「ろんたん」がキャッシングをサポート「もえろーん」」をクリック
6.２ちゃんにあった様なセッションID付きのURLで萌えろーんのページに到着。ようこそ×××さんが出ている。
7.このURLをIEに持って行く
8.萌えろーんのページでめでたく(?)ようこそ×××さんが出てしまう
(ﾉ∀`)ｱﾁｬｰ

もっと追記(18:20)
1.NetscapeでもIEでもログアウト
2.しばらくすると上記の6で得られたURLに行っても「ようこそゲストさん」になる
3.Netscapeでライブドアトップでログイン
4.上記の6で得られたURLに行く。ようこそ×××さんが出る
5.IE(さっき一旦ログアウトしてゲストさんになっている)で上記の6のURLに行く
6.なんと「ようこそ×××さん」が表示される
これってブラウザが引き連れてきた認証cookieでjsessionの情報を上書きしてる？

も～っと追記(21:40)
大佐BlogやGarbagenews.comでそのままログインして使えそうな記事が出回っているので追加情報を書いておくと

• 「お申し込み」の画面に進むと上記のセッションは引き継がなく、ゲストになる。したがって他人になりすまして融資を引き出す事は出来ない模様


• このセッションを喰わした(本当は一度もログインをした事の無い)IEで他のライブドアのサービスに行ってもログイン情報は引き継がれない。したがってメールなどを読まれる事は無い模様

いずれにせよ、URLを放り込んだだけで他人のIDが見えるのはよろしくないが。

なお、この実験は自分のライブドアIDを用いて別々のブラウザで行った。

もっとも～っと追記(22:05)
萌えろーんサイトはメンテに突入した。