Lucrezia さんの 応答。
http://d.hatena.ne.jp/Lucrezia/comment?date=20060913#c1158812141

本質的には 「1 bit たりとて データなんて hidden (Cookie とかも 含めるわ) に おきたくない」 ものですの。 だって 危ないでしょ。...

それでも もう一方の 現実として 「クライアントからの 要求」 という 鉄の事実が 存在してしまっているの。 だからこそ、あたしは、最低限の 情報だけを hidden (もしくは Cookie) に 書き、それでもなお その情報は 「操作されている 可能性がある」 事を 前提に、とても 慎重に 扱うべきだ、って 言うの。

↑ これが、彼の 質問内容より ずっと 重要な 指摘だということには、当然 気づいてるでしょうけどネ。