ＩＰＡではかなり重要な案件として取り上げられているようです
http://www.ipa.go.jp/security/vuln/documents/2005/JVN_77886599_hatena.html
グルッポのＳＳＬ問題で表記したのとよく似た問題ですが、やはり顧客に詳しく説明する必要はあるかと思います。
セキュリティで保護されたページのアクセスは、基本的に暗号化してやり取りされるべきでたとえセッション情報といえども出されるべきではないと思われます。
勿論、はてな側が収集しているとはいえこちらは情報の取り扱いについての規約に同意しているので問題がないといえばそうです。
ところが、ブラウザーに取り付くアプリケーションの中でも悪意のあるもの、サーバーにセットされ自動的に情報を収集する物の中には　そういったものを捕らえることのできる物もあります。
こういった部分の対応に関しては、対応をする側もさることながら　対応される側もその内容を理解しにくく　気が付けば不信感だけが残ると言う結果に転ばないとも限りません。
もう少し詳しい説明はあったほうが安心して使えるかと思うのですが・・・
なお、最新版では暗号化通信時にはセッション情報を収集しない仕様に変わっていますので　この問題に関してはアップデートで解決します。
追記：誤解を生みますので追記しますが、グルッポの場合はＳＳＬ対応をうたった時にすでに問題点を提示していたので　後でわかった場合と一緒に括られる物ではありません。