http://www.rorsecurity.info/storage/rails _security_2.pdf
Das ist auch für Nicht-Rails (wie mich) sehr interessant.