Sesje w rubym

Witajcie
ostatnio czytam conieco na temat sesji/ciastek w rubym. Wyczytałem conieco (tutaj) że sesje w rubym są zaimplementowane z użyciem ciastek. Czy to prawda? czy to oznacza, że user(h4x!or) ma możiwość “grzebania” w ustawieniach sesji?
W ustawieniach railsów znalazłem coś takiego jak

ActionController::Base.session = { :key => 'session_name', :secret => 'secret_code' }
czy to faktycznie chroni przed grzebaniem w sesji?
jak dlugo domyslnie ‘zyje’ sesja w railsach?
No i takie ostatnie pytanie * - czym się różni sesja od ciastek ?

*tylko w wypadku, gdy sesja jest oparta na ciastkach;p

Sesje w ciastkach trzymane są domyślnie od wersji 2.0. Jest to podobno szybsze niż poprzednie rozwiązanie.

Co do bezpieczeństwa: wartość sesji w ciastku jest szyfrowana i sprawdzana kluczem :secret (dlatego tak ważna jest jego unikalna wartość), co zapobiega grzebaniu w niej.

Jeśli nie podoba Ci się takie rozwiązanie, zawsze możesz zmienić je na trzymanie danych np. w pamięci (ActionController::Base.session_store = :memory_store) lub w bazie (:active_record_store, po czym odpalasz rake db:sessions:create).