Nessuna opzione segreta fornita a Rack :: Session :: Cookie warning?

Sto eseguendo Rails 3.2.3, Ruby 1.9 sotto Fedora 17. Ricevo questo avviso, quando eseguo rails s, e come lo risolvo?

AVVISO DI SICUREZZA: Nessuna opzione segreta fornita a Rack :: Session :: Cookie. Ciò rappresenta una minaccia per la sicurezza. Si consiglia vivamente di fornire un segreto per prevenire gli exploit che potrebbero essere possibili dai cookie creati. Questo non sarà supportato nelle versioni future di Rack e le versioni future invalideranno persino i cookie utente esistenti.

Questo è un bug di Rails, poiché la sottoclasse sta violando il contratto API della superclasse.

L'avviso può essere tranquillamente ignorato dagli utenti di Rails.

( https://github.com/rack/rack/issues/485#issuecomment-11956708 , enfasi aggiunta)

Conferma sulla discussione sui bug dei binari: https://github.com/rails/rails/issues/7372#issuecomment-11981397

Leggendo la discussione basata sulla risposta dei tehgeekmeisters, questo avviso sta spuntando perché Rails sta usando i cookie Rack in un modo diverso da quello previsto. Per ora dovrebbe essere corretto ignorare questo avviso fino a quando non ci sarà un accordo finale su come gestire questo problema e una soluzione in atto.

Questo problema è stato risolto nel Rails 3.2.11 appena rilasciato.

Registro: https://github.com/rails/rails/commits/v3.2.11

Conferma: https://github.com/rails/rails/commit/95fe9ef945a35f56fa1c3ef356aec4a3b868937c

rails 3.2.9 - ruby ​​1.9.3p125 (2012-02-16 revisione 34643) [i686-linux]

Ciao a tutti, quanto segue ha funzionato per me, potrebbe funzionare per te.

/usr/local/lib/ruby/gems/1.9.1/gems/actionpack-3.2.9/lib/action_dispatch/middleware/session/abstract_store.rb

module Compatibility
          def initialize(app, options = {})
            options[:key]     ||= '_session_id'
            #fixed warning - SECURITY WARNING: No secret option provided to Rack::Session::Cookie.
            options[:secret] ||= Rails.application.config.secret_token
            super
          end
    end

Il downgrade al rack 1.4.1 dovrebbe essere sufficiente per risolvere questo problema per ora. C'è un problema aperto per questo e ho appena inviato una richiesta pull che sembra risolverlo per me. In ogni caso, osserva il problema e dovresti essere in grado di eseguire l'aggiornamento al rack 1.4.2 dopo che è stato risolto.

Apparentemente, è in corso una discussione su come risolvere questo problema su un altro problema . Dovrai eseguire il downgrade a 1.4.1, ignorarlo o trovare la tua soluzione fino a quando non verrà risolto (e sottoposto a backport, se ciò accade).

È stato aperto un problema in Github https://github.com/rails/rails/issues/8789 . Sembra che la causa sia un bug che coinvolge Rails 3.2.10 con Rack 1.4.2. IMO, può essere tranquillamente ignorato fino a quando il problema non viene risolto.

EDIT : questo problema è stato risolto in Rails 3.2.11.

rails aggiornato alla 3.2.13, può risolvere questa domanda.