あまりよく理解していなかったことではあるが、、、、
CBCモードってのは選択平文攻撃にとても弱いらしい。

CSRFとかで乗っかられちゃうと、セッション内で攻撃成功すればcookieが盗まれるとおもわれる。

これって暗号強度の観点から言うと暗号の効果を否定するようなことだけど、脆弱性としては重要なのかな〜 まだちょっとわからん。