本文で「* auth」が間違いである理由がわかりませんでした。
解説は「全てのユーザに認証する権利を与えていますので、誤りです。」とありますがピンと来ません。
by self write
by users read
の２行で、ユーザ自身と、認証済のユーザに対してアクセス権を先に設定しているので、
このあとの行で「＊」を指定すれば、実質対象は匿名ユーザ(anonymous)になると思ったのですが違いますか。

「anonymous auth」と違い 「* auth」にしてしまうと具体的に
どういうアクセスまで認証範囲が広がってしまうことになりますか。