Это примерно тоже самое, что говорить "Ну в общем ваш эластик вот", в случаях, когда чуваки оставляют порты открытыми

Нормальные системы не должны позволять генерировать куки админа без знания пароля

Даже если известен ключ из env

Какого пароля?

Пароля юзера?

Пароля админа

Блин, если у чувака env в открытом доступе, то там же прописаны все приватные конфиги

В том числе и коннект к БД

Да, но если порт запрятан в локалке, этот трюк может помочь

В общем я бы наконец сделал .env.php

Или что-то в этом роде

RewriteRule !\.(jpg|png|любые форматы для прямого доступа)$ index.php

способ успростить себе жизнь

Просто, чтобы в ларке env стал доступен, это прям специально надо настроить сервак в корень проекта, потом еще создать самлинк на index.php

На моей практике был случай, когда был оставлен adminer старой версии, допустим в хосте А. Там я подрубился к себе, к своему mysql серверу (хост Б), и через load data local infile прочитал файлы на хосте А.
Как раз прочитал .env от ларавела. Но так как был adminer, все свелось к тому, что подрубился к базе хоста А и поменял хэш админа.

Кстати, очень интересно, что ларавел принимает хэш сгенерированный на другой машине. Там нет солей для хэширования?

В какой версии было?

Adminer < 4.6.3

А ларавел пятый, точно не знаю какой

Кстати, очень интересно, что ларавел принимает хэш сгенерированный на другой машине. Там нет солей для хэширования?
По идеи такого не должно быть