Me preguntaba si alguien sabe cuál es el complemento de acceso de usuario más seguro para Rails y si alguno de ellos impide la fijación de la sesión.
De la Guía de seguridad de Ruby on Rails siempre que esté usando el comando reset_session durante el proceso de autenticación, debe estar mitigando contra los ataques de fijación de sesión. En general con una aplicación de rieles. Si solo está creando la sesión cuando el usuario inicia sesión y está emitiendo un nuevo ID de sesión en ese momento, no debería tener demasiados problemas con la fijación de la sesión.
Lea otras preguntas en las etiquetas web-application appsec session-management rails