短命Cookieでどの程度悪用を減らせるのかは気になるところ - 売りにくくはなるが、その一瞬で悪用するだけになるのでは、という疑問? - Explainerでも言及はされているので、それでも一定の効果がある、とい うことなのだと思う: Note, however, that the definition of "long-lived" depends upon the configured refresh period; within that period, attackers may continue to have short-lived access to any established sessions. - フレームワークに任せることができるとよい