入力情報を単純にセッションに保存するとろくなことがない

某大手ドメイン業者の決済システムの話。

複数のドメインに対して、別々のメールで契約更新案内が来ていたので、それぞれメール内の決済専用URLをクリックして、別々のタブで決済画面を開いた。それぞれの画面に支払い情報を入力して「次へ」をクリックしたら、「不正な画面遷移です」とエラーが出て、入力情報が混ざってしまった。

複数の入力開始画面のURLをメールで送る以上、同一セッションで並行入力される可能性は容易に想定できるはず。大手なんだし、複数ウィンドウ対策くらいちゃんとやって欲しい。