2007-12-10 Ruby on Rails 2.0のセッションストア RoR Security RoRのデフォルトのセッションストアがMAC(Message authentication code)っぽい感じになったらしいです。データ自身とその正当性チェック用のコードをまとめてクライアント側でもつわけです。確かにねつ造だけが問題であればこれで良かったんですよね。何で今までセッションIDでがんばってんだっけ?参考: Rails 2.0のセッション話 - moroの日記