Файлы cookie по умолчанию шифруются в Rails 4
В Rails 4, CookieStore cookie-файлы шифруются и подписываются по умолчанию:
Если у вас установлено только secret_token, ваши куки будут подписаны, но не будут
зашифрованы. Это означает, что пользователь не может изменить свои user_id, не зная вашего
секретный ключ приложения, но может легко прочитать их user_id. Это было по умолчанию
для приложений Rails 3.
Если вы установили secret_key_base, ваши куки будут зашифрованы. Это идет
шаг дальше, чем подписанные куки в том, что зашифрованные куки не могут быть изменены
или прочитанный пользователями. Это значение по умолчанию в Rails 4.
Если у вас настроены secret_token и secret_key_base, ваши куки будут
будут зашифрованы, и подписанные куки, сгенерированные Rails 3, будут прозрачно
читать и шифровать, чтобы обеспечить плавный путь обновления.
Хранилище сеансов активной записи устарело в Rails 4
Этот ответ устарел по отношению к Rails 4. Активная запись
Session Store устарел и удален из Rails, поэтому следующее
генераторы больше не будут работать:
Это было указано в этом ответе . Причина в том, что Active Record
Session Store устарел, потому что чтение / запись в базу данных не
хорошо масштабируется, когда у вас есть большое количество пользователей, обращающихся к вашему приложению, как
указано в этом блоге :
... одной из основных проблем хранилища сеансов Active Record является то, что оно не
масштабируемый. Это создает ненужную нагрузку на вашу базу данных. После того, как ваше заявление
получает большой объем трафика, таблица базы данных сеансов
постоянно бомбардируется операциями чтения / записи.
Начиная с Rails 4, хранилище сеансов Active Record удалено из ядра
рамки и теперь устарела.
Если вы все еще хотите использовать хранилище сеансов Active Record, оно все еще доступно
как драгоценный камень .
Рекомендации по текущей сессии Rails
Для более актуальных рекомендаций для сессий Ruby on Rails я советую вам
Ознакомьтесь с последними версиями Руководства по безопасности Ruby on Rails .