Test::Unit と RSpec の違い？

チュートリアルでは、`rails new` で自動生成されるTest::Unitではなく、RSpecをつかってテストをしていくそうです。
よちよチスト的には、そもそも「テストって？」っていう状態なわけで、
つまり「Test::Unit と　RSpec でどう違うの？」っていう疑問が浮かぶわけです。
GitHub Issues 案件かな。。

Seleniumとは？

Rspecでテストするにあたって必要なGemをGemfileに書いていったわけですが、
それで登場したのがCapybaraとSelenium。
CapybaraはSeleniumなどのGemに依存していると書いてあるけれど、
そもそもSelenium is 何？
ブラウザを選ばずWebテストを自動化するSelenium (1/3)：ユカイ、ツーカイ、カイハツ環境！（7） - ＠IT

うーん、便利そう、だけど。
どうやら @pupupopo_ さんがイケるらしいので、今度教わることにしました。

秘密トークン (secret token)とは？

これ、ミートアップのときなんか流しちゃったんですけど、
帰ってからもう一度読んでみたらちょっと意味がよくわからなくて…
リスト3.2の直前のパラグラフで出てきます。

このサンプルアプリケーションはパブリックリポジトリ (public repository) として公開されるので、Railsでセッション変数の暗号化に使用するための、いわゆる秘密トークン (secret token) を必ず更新することが重要です。

Railsでセッション変数の暗号化？
どんなふうに大事なものなのかイマイチ仕組みがよくわからないのですが。。

.gitignoreはリスト1.7のように変更する必要がある？

さらに読み進めていくと、
秘密トークンをうっかり公開しないように、のとのこと。
なんかさらっと書いてあるけど結構重要なことなんじゃないの？

つまり、

秘密トークンをハードコードしている（セキュリティ上よくない）、という問題に対応すべく、
リスト3.2のような秘密トークンを動的生成するコードを作成し、これで動かすと.secretファイルが生成されます。
これをうっかり公開しないように、.gitignoreにちゃんと.secretを足しておきましょうね。

ということのようです。

…てことはなんかさらっと書いてあるけど、
.gitignoreファイルは1.7を参考にして書き直したほうがいい、という意味ですよね！？

こんな記事も見つけました。
rails の secret_token の扱い - QA@IT

どうしてセキュリティ上やばいやつを自動生成しちゃうの？

上記の話の流れで、そもそもどうしてセキュリティ上よくない「ハードコードされた秘密トークン」が自動生成されちゃうのかしら。

あるいは.gitignoreで最初から安全にしちゃえばいいじゃん！と思ったけど、
バージョン管理方法はGitに限っているわけではないので、そこはRailsでは決められないということなのか。

なんかモヤモヤすることがたくさんあるので、GitHub Issues でみなさんの意見を聞きたいです。