<div dir="ltr">Thanks for the good ideas everyone. I have a few things to think about.<div><br></div><div style>When accessing through https what will upstream proxies log ? Just the encrypted url right ?</div></div><div class="gmail_extra">

<br><br><div class="gmail_quote">On 28 January 2013 09:13, Glenn Pierce <span dir="ltr"><<a href="mailto:glennpierce@gmail.com" target="_blank">glennpierce@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div dir="ltr"><div style="font-family:arial,sans-serif;font-size:13px">Hi I like to have opinions on the security of logging into a website</div><div style="font-family:arial,sans-serif;font-size:13px">with just a uid </div>


<div style="font-family:arial,sans-serif;font-size:13px">ie</div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px"><a href="https://someserver.com/login/a4337bc45a8fc544c03f52dc550cd6e1e87021bc896588bd79e901e2" target="_blank">https://someserver.com/login/a4337bc45a8fc544c03f52dc550cd6e1e87021bc896588bd79e901e2</a></div>


<div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">I have inherited a system that provides a login for tablets which login in this manner.</div><div style="font-family:arial,sans-serif;font-size:13px">


(It needs an automated login for the tablets)</div><div style="font-family:arial,sans-serif;font-size:13px">Obviously the url in required to be encrypted by always requiring https.</div><div style="font-family:arial,sans-serif;font-size:13px">


<br></div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">We often provide one time tokens like this when someone has forgotten their password.</div>


<div style="font-family:arial,sans-serif;font-size:13px">But why not allow this to be a permanent login ?</div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">


Why is requiring a uid like above worst than a username,password ?  </div><div style="font-family:arial,sans-serif;font-size:13px">I believe I am missing something stupid as you would see more of this kind of thing.</div>


<div style="font-family:arial,sans-serif;font-size:13px">That makes be nervous.</div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">Thanks for any feedback.</div>


</div>
</blockquote></div><br></div>