Perché: valore predefinito di seme salato e cifrato in Cake PHP Framework?

Questa sembra decisamente una pessima pratica.

Una ricerca rapida su github visualizza ~ 11.000 progetti in cui lo stesso default cakephp è stato usato sale.
Cakephp mostra un avviso quando il valore non è stato modificato:

Please change the value of 'Security.salt' in app/config/core.php to a 
salt value specific to your application [CORE/cake/libs/debugger.php, line 848] 

Quindi un potenziale motivo per avere un valore predefinito di sale e seme è la capacità di rilevare se l'utente sta utilizzando il sale predefinito, invariato e non sicuro e può essere in grado di dargli istruzioni su come cambiarlo.

Segnala questa funzione dove ti assicuri di essere non usare i valori predefiniti. A differenza di altri framework come Rails in cui il secret_token viene generato al volo quando si crea un nuovo progetto di rotaie, cakephp ha fondamentalmente un unipip e inizia ad usarlo approccio dove generare un salt on the fly non è facile.

Tuttavia, lo stesso codice che controlla che i valori non siano predefiniti può anche potenzialmente creare un salt casuale e sostituire i valori nei file conf quando vengono utilizzati i valori predefiniti. Ciò accadrebbe solo una volta - idealmente la prima volta che viene eseguita un'applicazione di cakePHP - e quindi i valori sono cambiati per sempre.

Inoltre, quando vengono utilizzati i valori predefiniti, dovrebbe essere generato un errore (anziché un avviso sottile che può essere ignorato) che non ti consentirà di implementare / eseguire cakephp a meno che tu non modifichi questi valori.

Ovviamente i vantaggi di seme e sale vanno persi se tutti usano gli stessi valori noti. Speriamo che qualcuno del team di cakephp condivida la tua preoccupazione e cambi questo comportamento predefinito.