クッキーをセキュアにする必要が出てきたため、色々探したんですがなかなか情報が発見できませんでした。結局、人の助けを借りて見つけたので記載します。（Railsのリファレンスには記載あったと思います。。。）
http://d.hatena.ne.jp/zatsuso/20080209/p1

セッション固定攻撃は1.2.6で対応されてたはずです。
(確かそのために1.2.6が出たような気もする)
具体的なやり方わすれちゃったけど。

知ってる人っぽかったのでコメント。
人違いだったらすいません。