【CakePHP】DarkAuthはそのまま使わない方が良いと思う

カンファレンスの興奮がようやく冷めてきましたので、新Authコンポーネントの続きなどを考えていたのですが、今さらになってDBアクセス問題以上の凶悪な問題がDarkAuthにあることに気がつきました。

DarkAuthコンポーネントには「自動ログイン」という便利な機能が実装されているのですが、これが実は大変に危険です。何故かというと、オリジナルではクッキーに、findした結果のシリアルを丸ごと書いて記憶するからです。

どういうことかというと、IDとパスワードがそのままクッキーに保存されます。さらに、ユーザ情報も丸ごと保存されます。パスワードは暗号化したものを強制的に扱うようにしていますが、それでもテーブルに格納されたデータそのままをクッキーに保存しますので、全く意味がありません。

薦めておいてなんですが、DarkAuthはそのまま使うのはやめた方が良いと思います。
どうしても使うのなら、自動ログインを使わない、クッキーを使わない設定で使った方が良いです。

新Authの方は、とりあえず自動ログインをやめる方向でいますが、まあもしやるならワンタイムなユニークコードを振るとか、そういった実装でやるんじゃないかと思います。

繰り返しますが、DarkAuthはそのまま使うのはやめた方が良いです