というのが公開されてみたい。

ドイツのWebアプリケーションセキュリティコンサル企業らが設立したRuby on Rails Security Projectは11月4日、Ruby on Rails（RoR）のセキュリティガイド「Ruby on Rails Security guide」を公開した。HTMLページまたはeブック形式で無料で閲覧できる。

Ruby on Railsのセキュリティガイドブックが公開 - SourceForge.JP Magazine : オープンソースの話題満載

Ruby on Rails Guides: Ruby On Rails Security Guide

Railsの場合はさっくりすぐ動くものが簡単に作れるってキャッチコピーがあるので、こういったセキュリティ面で本来考慮しないといけない項目は、きちんと押さえておきたい。

記事読んでると（全くセキュリティとは別の話だけど）Rails2.x系からSessionのストレージにブラウザのCookieが使用できるCookieStorageってのが利用可能になったのね（ちなみに保持可能なデータは4KByteまで）。
サーバ側では余計なIOが無くなる分速くなり、Session用のファイル等も必要なくなる。でも、Cookieに保持とかだと平文でデータが参照可能になるが、この辺は見られて困るデータはSessionに入れるなというポリシーみたい。まぁ確かに正しいポリシーだけど、実際の開発現場では往々にポリシーが無視されることも多々あるので、何らか制限する機構とか考慮する必要がある。
でも、Railsに限らず、HTML5のDOMStorageとかでも同様のことができそう。