# * +pepper+: a random string used to provide a more secure hash. Use # `rake secret` to generate new keys. # # * +stretches+: the cost given to bcrypt. とある。何に使われてるか、ソルトみたいなものかな、と思ってググるといい記事が出てきたので参照されたし。 RailsはデフォルトでBasic認証とDigest認証が利用できるが、Railsガイドの例はソースコードに変数としてuser_name,passwordを平文で仕込んでいて、あんまりセキュアとは言えなさそう。基本的にまともなアプリケーションに対してこんなことはしないと思うけど(個人利用くらいを想定している)。環境変数に埋め込むという手法が提案されている。 パターン20:SQLインジェク