Glen,<br><br>Check out this paper that advocates the use of such identifiers instead of<br>session cookies and other ambient credentials:<br><br>Web-key: Mashing with permission<br><a href="http://w2spconf.com/2008/papers/s4p2.pdf">http://w2spconf.com/2008/papers/s4p2.pdf</a><br>
<br>It addresses the 4 things that Michael listed and<br>it's generally a very pleasant read<br><br>Cheers<br>Nick<br><br><div class="gmail_quote">On Mon, Jan 28, 2013 at 6:55 PM, Michal Zalewski <span dir="ltr"><<a href="mailto:lcamtuf@coredump.cx" target="_blank">lcamtuf@coredump.cx</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">> <a href="https://someserver.com/login/a4337bc45a8fc544c03f52dc550cd6e1e87021bc896588bd79e901e2" target="_blank">https://someserver.com/login/a4337bc45a8fc544c03f52dc550cd6e1e87021bc896588bd79e901e2</a><br>

<br>
In general, there are four things to be aware of:<br>
<br>
1) Credentials encoded in the URL are very easy to accidentally leak<br>
in any outgoing Referer headers, in screenshots, etc. This can be<br>
mitigated, but it's also easy to mess things up.<br>
<br>
2) Credentials encoded in the URL will by default end up in the logs<br>
of the HTTP server - although again, this can be fixed. They may also<br>
get recorded by various proxies, AV tools, browser toolbars, etc -<br>
which is a bit harder to contain.<br>
<br>
3) The user will be dependent on having access to bookmarks or some<br>
other way to retrieve that URL to be able to log in from a particular<br>
computer, since it's impossible to remember; and if his bookmarks are<br>
deleted or corrupted, you will need to deal with account recovery. If<br>
you are willing to put up with this, you may also want to consider<br>
client SSL certificates or so as an alternative form of<br>
authentication.<br>
<br>
4) Since all the information needed to access the account is stored on<br>
the computer, any system compromise can be used to recover the access<br>
token immediately, rather than waiting for the user to interact with<br>
the targeted site. This may or may not matter.<br>
<br>
/mz<br>
<br>
_______________________________________________<br>
The Web Security Mailing List<br>
<br>
WebSecurity RSS Feed<br>
<a href="http://www.webappsec.org/rss/websecurity.rss" target="_blank">http://www.webappsec.org/rss/websecurity.rss</a><br>
<br>
Join WASC on LinkedIn <a href="http://www.linkedin.com/e/gis/83336/4B20E4374DBA" target="_blank">http://www.linkedin.com/e/gis/83336/4B20E4374DBA</a><br>
<br>
WASC on Twitter<br>
<a href="http://twitter.com/wascupdates" target="_blank">http://twitter.com/wascupdates</a><br>
<br>
<a href="mailto:websecurity@lists.webappsec.org">websecurity@lists.webappsec.org</a><br>
<a href="http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org" target="_blank">http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org</a><br>
</blockquote></div><br>