ソースつき解説。有難いです。

セッションデータがファイルからクッキーに行くことによるメリットは多々あります。
一番大きいところでは、アプリケーションサーバの分割（つまりスケール）が容易になること。
あとは公式ブログの2.0機能ダイジェストにもあるように、軽くなる、メンテが簡単になるなど。
*1

でもセキュリティはやっぱり心配。digestは改竄防止にはなるけれど、データの中身が覗かれたり、secret(digestの鍵）を計算されてしまうリスクは増えています。
対策として考えられるのは、以下でしょうか。列挙してみると基本的なことばかりなのですが。

• cookieにはsecureオプション
• dataには漏洩してはまずい情報はなるべく保存しない
• ↑と関連してCSRF対策は念入りに
• secretを十分長くとることや、定期的更新など

なんか勘違いとか漏れとかあったらご指摘お願いします。