cookieのsecureをtrueにする。 trueにした属性は、https以外の通信でcookieを送信しなくなる。 httpsとhttpの行き来がある様なサイトは、セッションIDなどをsecure属性にしないとセッションハイジャックされる可能性がある。

secure属性と直接関係はないが、ログイン前のセッションIDとログイン後のセッションIDは変更すべきである。

railsでsecureを有効にしたcookieの発行方法は以下となります。

cookies[:secure_cookie_name] = { :secure => true, value: 'nanika'}