http://www.ipa.go.jp/security/vuln/documents/2005/website_security.pdf を読んだ。
すごく分かりやすくて、根本的対策、保険的対策に分類した構成も的を得ていると思う。
ただ、気になる点が２つ。

まず「HTTPS通信で利用するCookieにはsecure属性を加える」の解説に書いてあるHTTPS通信でCookieを利用する場合は、HTTPSで発行するCookieとは別のCookieを発行してください。という部分＋参考URLの内容。
概念的にはそうなんだろうけど、大概の言語においてHTTP,HTTPSを分けたセッション管理機構は提供されていないため、セッション管理の仕組みを自前で構築しなければならなくなってしまう。大多数の開発者はこの対応には大きな抵抗を感じるのではないかな？私なら間違いなくやりたくないと言うし。
ってことで、昨日の日記に書いたようなやり方が一番推奨できる方法だと思います。

次に「入力後の応答メッセージが認証情報の推測のヒントとならない工夫する」の部分。
これも1月8日の日記に書いたとおり、新規登録時にユーザIDが重複していた場合の挙動をどうすればよいかで悩むことになるから、かなり微妙。新規登録時のユーザID重複時に取るべき挙動もうまく説明出来るのならよいのだけれど、そこまで考えて書かれた内容ではない気がするのです。