Seguridad con Rack::Session::EncryptedCookie

[Gabriel Rodriguez]

Hola Gente,

Actualmente vengo usando en mi startup Rack:Session:Pool pero ahora necesito cambiar a  Rack::Session::EncryptedCookie entre otras cosas para poder usar concurrencia.

Antes de cambiar el código quisiera saber que tan seguro es guardar toda la sesión  con Rack::Session::EncryptedCookie

Creería que es bastante seguro porque usa PBKDF2 with an SHA1-based HMAC y también defino una clave secreta del lado del servidor con lo cual el contenido de la sesión con los datos de identificación del usuario quedarían firmados criptográficamente pero como no soy experto en seguridad me genera cierto grado de desconfianza saber que la variable rack_session esta en el browser al alcance del usuario y si bien está encriptado puede tener dentro entre otras cosas por ejemplo el id tenant (dejando de lado el phishing)

Lo que quiero saber es si a nivel de programación existe alguna posibilidad de que alguien con los conocimientos necesarios pudiera desencriptar ese hash del lado del usuario y llegar a obtener su estructura porque en ese caso se podría cambiar por ejemplo ese id tenant probando otros posibles ids hasta llegar a acceder por ejemplo a loguearse como otro usuario. 

No se si existen casos de ataques de ese tipo pero me gustaría saber si algo como eso sería posible o lo dejamos para la ciencia ficción.