RoRのデフォルトのセッションストアがMAC(Message authentication code)っぽい感じになったらしいです。データ自身とその正当性チェック用のコードをまとめてクライアント側でもつわけです。確かにねつ造だけが問題であればこれで良かったんですよね。何で今までセッションIDでがんばってんだっけ？

参考:

• Rails 2.0のセッション話 - moroの日記