[5] クッキーにおけるセッションは、 Webブラウザーを起動してから終了するまでです。
[11] 利用者エージェントによっては、セッションを越えてクッキーを保持するかどうかを設定できます >>8。 private browsing モードではそのように動作することがあります >>8。
[10] クッキーをセッションを越えて保持するかどうかは、 個別のクッキーの持続フラグが設定されているかどうかに依存します。
[9] クッキーの持続フラグは、Expires 属性や
Max-Age 属性の有無や、
利用者エージェントがセッションを越えてクッキーを保持するよう設定されているかどうか
>>8 に依存して決まります。
Expires
[2] 現在セッションが終わった時点は利用者エージェントにより定義されます >>1。
[3] 現在セッションが終わったら、持続フラグが設定されていないクッキーはすべて削除しなければなりません >>1。
[19] Webブラウザーによっては、一度窓を閉じてから、 それをすぐに復元したり、プロセス終了後に元の状態を復元したりできることがあります。 元のセッションが維持されていて復元されるのか、 元の状態に近い新しいセッションが新規作成されるのかは実装によります。
[20] WebDriverセッションはこの意味かもしれません。
[6] sessionStorage は最上位閲覧文脈と起源に関連付けられています。
[16] 利用者エージェントのプロセスが再起動したとしても、 その後再開できるなら、それは同じセッションが継続していると扱うことができます >>15。
[7] セッション履歴は閲覧文脈に関連付けられたリストです。
[14] タブを開いてから閉じるまでに対応するのが一般的ですが、 最近の Webブラウザーには閉じたタブを復元する機能があり、 閉じたはずの閲覧文脈が (セッション履歴や文書の状態を含めて) 復元されることがあり、閲覧文脈を捨てる処理やセッション履歴とどう対応しているのかは必ずしも明確ではありません。
[13] Webアプリケーション (鯖側にせよクライアント側にせよ、 両方で構成されるものにせよ。) には個々で独自の (あるいは利用する WAF 等の) “セッション”を実装していることがあります。その意味や実現方法は様々です。
[25] クライアントにセッションを維持させる方法として、 クッキーにセッションIDを含める方法がよく使われています。
[24] セッション固定攻撃のセッションは、こちらのセッションです。
[12] 逆プロキシで使われる sticky session もこのセッションです。