Cakeスレで以下のようなレスを見たのですが

>> secureな方のcookieにhttpのsession id情報持たせておけば基本的に終わりじゃん
>違うぞ。セキュリティの勉強をしたほうがいい。

>Amazonとかみればわかるように、商品をカートに入れるまではhttp
>そのあと会計時はhttps。つまり一連の処理がhttpsだけで完結する処理ではない。

>セキュアな方のクッキーにセッションIDを持たせた場合、
>それをhttpで送ると盗聴されセッションハイジャックできてしまう。

>だからhttp用ととhttps用と二つのセッションIDを使用することになる。
>そしてサーバー内でその二つを紐付けしておかなければならない。
>もちろんhttp用セッションIDは盗聴される可能性があるから
>それを奪われても、その情報だけからhttps用セッションIDを取得できてはいけない

httpとhttpsを行き来する場合、それぞれ2つのセッションIDを作って、
裏で紐付けするのが一般的なのでしょうか?