Avere un GUID in un URL https è abbastanza sicuro? Ci sono rischi per la sicurezza nell'usare questo modo di autenticare gli utenti?
Inoltre quali misure possono essere prese per rendere più sicuro questo tipo di URL.
Un ID di sessione dovrebbe essere un parametro Cookie e non dovrebbe mai apparire nell'URL. Qualsiasi valore nell'URL A verrà visualizzato nell'intestazione del referer, nonché nei file di registro di accesso. Un'applicazione web finirà con la trasmissione delle credenziali di autenticazione ad altri siti web e la loro memorizzazione in chiaro sul filesystem.
Inoltre, quando si passa un ID di sessione nell'URL, si apre la porta per Correzione della sessione .
Leggi altre domande sui tag web-application tls