前提知識

• 「ログインしたまま」にできるのは、ログイン情報をブラウザ内の Cookie に保持しているから

⇒ 「ログイン情報を保持しているクッキー」を守る必要がある

「ログインしたまま」専用ブラウザを別に用意

• ログインしたまま悪意のある Web ページに行く、または見えない iframe が仕掛けられたページに行くからログイン情報（Cookie）を盗まれる

⇒ 「ログインしたまま」専用の別ブラウザ（Opera とか？）を用意する（別ブラウザなら Cookie はシェアされない）
⇒ ログイン情報（Cookie）が必要なとき以外は「ログインしたまま」ブラウザを使わない

通常ブラウザにログイン情報（Cookie）を残さない

• 通常ブラウザに保持するログイン情報（Cookie）は、盗まれて問題ないものだけに限定

⇒ 通常ブラウザでは基本的にセッション Cookie しか保持しない（ブラウザ終了時に消える）
⇒ 通常ブラウザは常にプライベート（シークレット）モードを使う

何も対策しないよりマシなことは確か