>>296
> ユーザーのパスワードが漏れるのと一時的なパスワード以外のセッション情報が
> 漏れる
正しくは違う。

cookieに保存されているなにかが漏れたときに話で、それがユーザID+パスワードだろうが
PHPSESSIDだろうが、その他の(自動)ログインに必要な情報だろうが、漏れたら一緒だろってこと。

まぁ、一緒というのは言いすぎで、もちろんセッションが無効になってたりしたら事情は違うが。