Aucune option secrète fournie à Rack :: Session :: Cookie warning?

J'exécute Rails 3.2.3, Ruby 1.9 sous Fedora 17. J'obtiens cet avertissement, quand j'exécute rails s, et comment résoudre le problème?

AVERTISSEMENT DE SÉCURITÉ: Aucune option secrète fournie à Rack :: Session :: Cookie. Cela constitue une menace pour la sécurité. Il est fortement recommandé de fournir un secret pour empêcher les exploits qui pourraient être possibles à partir de cookies conçus. Cela ne sera pas pris en charge dans les futures versions de Rack, et les versions futures invalideront même vos cookies utilisateur existants.

Il s'agit d'un bogue Rails, car la sous-classe viole le contrat d'API de la superclasse.

L'avertissement peut être ignoré en toute sécurité par les utilisateurs de Rails.

( https://github.com/rack/rack/issues/485#issuecomment-11956708 , italiques ajoutés)

Confirmation sur la discussion du bogue des rails: https://github.com/rails/rails/issues/7372#issuecomment-11981397

En lisant la discussion basée sur la réponse de tehgeekmeisters, cet avertissement apparaît car Rails utilise les cookies Rack d'une manière différente de celle prévue. Il devrait être correct d'ignorer cet avertissement pour le moment jusqu'à ce qu'il y ait un accord final sur la façon de gérer ce problème et un correctif en place.

Ce problème a été résolu dans la version 3.2.11 de Rails qui vient de sortir.

Journal: https://github.com/rails/rails/commits/v3.2.11

Commit: https://github.com/rails/rails/commit/95fe9ef945a35f56fa1c3ef356aec4a3b868937c

rails 3.2.9 - ruby ​​1.9.3p125 (révision 34643 du 16/02/2012) [i686-linux]

Bonjour à tous, ce qui suit a fonctionné pour moi, cela peut fonctionner pour vous.

/usr/local/lib/ruby/gems/1.9.1/gems/actionpack-3.2.9/lib/action_dispatch/middleware/session/abstract_store.rb

module Compatibility
          def initialize(app, options = {})
            options[:key]     ||= '_session_id'
            #fixed warning - SECURITY WARNING: No secret option provided to Rack::Session::Cookie.
            options[:secret] ||= Rails.application.config.secret_token
            super
          end
    end

La mise à niveau vers le rack 1.4.1 devrait être suffisante pour résoudre ce problème pour le moment. Il y a un problème ouvert pour cela et je viens de soumettre une demande d'extraction qui semble le résoudre pour moi. Dans tous les cas, surveillez le problème et vous devriez être en mesure de mettre à niveau vers le rack 1.4.2 une fois le problème résolu.

Apparemment, il y a une discussion en cours sur la façon de résoudre ce problème sur un autre problème . Vous devrez soit rétrograder vers la version 1.4.1, soit l'ignorer, soit trouver votre propre correctif jusqu'à ce que cela soit réglé (et rétroporté, si cela se produit).

Un problème a été ouvert dans Github https://github.com/rails/rails/issues/8789 . Il semble qu'un bogue impliquant Rails 3.2.10 avec Rack 1.4.2 en soit la cause. OMI, il peut être ignoré en toute sécurité jusqu'à ce que le problème soit résolu.

EDIT : Ce problème a été résolu dans Rails 3.2.11.

rails mise à jour à 3.2.13, peut résoudre cette question.