Мы использовали поставщика услуг автоматического тестирования на проникновение для сканирования нашего веб-приложения на Rails и обнаружили несколько уязвимостей, которые нам удалось исправить больше всего.Теперь, после очередного цикла тестирования, мы обнаружили одну уязвимость, утверждающую, что сила сеанса плохая, что означает, что маркер сеанса предсказуем и имеет низкую случайность, что подвергает приложение атакам с предсказанием сеанса.Мы используем ruby 2.5.3p105, Rails 5.2.2, Devise 4.5.0 и обслуживаем приложение от Heroku.Мы используем CookieStore для хранения сессии.Может ли это быть действительно вызвано тем, что CSPRNG, используемый ruby (либо предоставленный OpenSSL, либо /dev/urandom), не обеспечивает достаточную энтропию во время тестового прогона?И что мы можем сделать, чтобы увеличить случайность сгенерированных ключей сеанса для того теста, который не пройден?