在Rails 4中,会话ID可以存储在EncryptedCookieStore中,因此客户端(see the Rails Guide和Hartl Rails Tutorial, Chapter 8)无法读取。如果用户无法读取cookie,她也不能篡改它。但是,如果通过(不安全)http访问应用程序,并且没有额外的保护,例如将会话ID绑定到用户的IP地址,那么任何人都无法监听拦截cookie,而无法读取或者篡改它,用它来欺骗用户的会话?换句话说,加密会话ID是否可以提供针对外部攻击者或针对恶意用户的任何保护?