ログイン処理のコードレビューにおいて、認証部分が自作されていて、md5をつかっていたので、なぜ自作するのか?なぜmd5を使うのか?という点について議論になりました。
- CodeIgniter-Ion-Authを使う
- blowfishを使う(phpならpassword_hash関数、PASSWORD_BCRYPTオプションが良さそう)
僕は自前認証かつmd5を使う意味がわからなかったのでちょっと辛辣な表現になってしまいました。(その方が安全で楽なのに何故しないのか?的な)
ちょっと揉めてしまいまして、
「中途半端に(その実装を)採用しちゃったせいで、なんかあったら駒形さん直してくれんの?土日でも対応してくれんの?」
という感じになり、最終的には、
「レビューはあくまで"サジェスト"に留めて欲しい。」
ということになりました。コードレビューにおいて、
「ここはAAAではまずいのでBBBにすべきです。」
ではなく、
「ここはAAAよりよいBBBというやり方がありますよ。採用するかしないかは…アナタ次第です m9」
という感じですね。
ホント レガシー改善は地獄だぜ