rails3.1起動時のrack の警告は無視していい？

[ytakagi]

jruby on rails 3.1を使用して、いろいろテストしています。
諸般の事情で、いまのとこ rails のバージョンは上げたくありません。

rails 起動時に、rack の警告が出ます。

SECURITY WARNING: No secret option provided to Rack::Session::Cookie.
This poses a security threat. It is strongly recommended that you
provide a secret to prevent exploits that may be possible from crafted
cookies. This will not be supported in future versions of Rack, and
future versions will even invalidate your existing user cookies.

これは、config/initializers/session_store.rb
の中にあるセッションストレージの設定、例えば、

Bbs::Application.config.session_store :cookie_store, key: '_bbs_session'

とあるとして、（プロジェクト名が bbs …掲示板ということですが）
それを

Bbs::Application.config.session_store :cookie_store, key:
'_bbs_session', secret: '1234'

などとして、
行の末尾に secret: string
を追加すると、出ないということはいろいろ試して分かったのですが、

しかし、rails には
config/initializers/secret_token.rb
に秘密カギが設定されているのでは？

secret_token.rbを試しに開くと、

Bbs::Application.config.secret_token = '413652　　以下、略。数十桁の英数字

となっていますが。
これがデフォルトでもともと使われているんじゃないんでしょうか？

警告は無視していいものか、
secret option を新たに設定すべきか、それとも、
rails の最新バージョンならすでに解決済み問題なのか。

このあたり、お分かりの方、いますでしょうか？



-- ytakagi

[ytakagi]

お騒がせしました。
既存のプロジェクトであれこれ試している最中に rails のバージョンは上げた
くなかったのです。

rails 3.1系の最新と思われる rails 3.1.10に上げましたところ、
rack の警告は出なくなりました。

手元のテストも無事すべて通ったので、とりあえず安心してます。

では。

--

ytakagi