こちら多分以下のような詳細。



a. setcookie()がIEのbug対策で(?)削除したつもりがvalue='deleted' expire=過去に設定してしまうケースがある。

http://jp.php.net/manual/ja/function.setcookie.php#70606

http://jp.php.net/manual/ja/function.session-destroy.php#71498



b. appz側logicでlogin以前のどこかで上記を(多分)実行して、name=session_idをuniqueでない値にしてしまって返している

UI側で明示的にlogoutを持たない設計のため、"気を利かせた"つもりだったんだろう。



c. 通常、browser側でexpireを見てsession情報を破棄済みと認識するはずが、auの場合はname=max ageのみを見て振る舞ってしまうため、sessionが確立済みとしての挙動を示す。

http://www.au.kddi.com/ezfactory/tec/spec/cookie.html



しかもこの挙動はhttpsの時のみ再現し、httpだと再現しないんだと。

恐らく、WAP2.0端末のhttps通信のみcookieは端末に保管され、それ以外はEZサーバー側で管理されると上記に記述があるんで、そのせいで挙動が異なるんだろう。



課題はこれに気づくテスト計画を立てられるか? ま、普通は無理。