La stessa domanda era arrivata nello stackoverflow qualche tempo fa, per favore trova il link sotto.
link
Per riassumere le risposte menzionate nel link, i parametri url che vengono inviati al server saranno crittografati e quindi non sono vulnerabili all'intercettazione, tuttavia se ti riferisci a qualsiasi terza parte dalla tua pagina (es: jquery) allora a meno il riferimento è via ssl, l'intero url sarà presente come testo in chiaro nel campo del referrer http e che può essere intercettato e letto.
Probabilmente gli url possono essere registrati come testo normale sul server, nella cronologia del browser e forse ci sono plugin del browser che nascondono l'url. Quindi non è una buona pratica
È meglio inviare parametri sensibili usando il POST.
Inoltre, ho confermato eseguendo wireshark mentre accedevo al link . l'URL aveva molti parametri e tutto era criptato da ssl.