<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <div class="moz-cite-prefix">Well said but kick it up a notch. I
      actually recommend keeping *all sensitive data* out of URLs for
      just this reason. Passwords, PII, Authentication tokens - anything
      you do not want leaking should stay out of URL's (HTTP/S GETS).<br>
      <br>
      The more positive rule is to only submit sensitive data over HTTPS
      POST. <br>
      <br>
      There are of course additional sub rules in the age of AJAX and
      JSON, but this is a good start.<br>
      <br>
      Cool?<br>
      <br>
      Jim Manico<br>
      @Manicode<br>
      <br>
    </div>
    <blockquote
      cite="mid:AE97D2C3-35A3-4008-9C83-6C0F97701D8E@gmail.com"
      type="cite">
      <pre wrap="">Glenn, it's considered best practice not to send auth tokens in URL due to risks of upstream logging , also proxies and firewalls may log it and then making it permanent would only increase the risk.

Thanks 
Subin 

Sent from my iPhone

On Jan 28, 2013, at 4:13 AM, Glenn Pierce <a class="moz-txt-link-rfc2396E" href="mailto:glennpierce@gmail.com"><glennpierce@gmail.com></a> wrote:

</pre>
      <blockquote type="cite">
        <pre wrap="">Hi I like to have opinions on the security of logging into a website
with just a uid 
ie

<a class="moz-txt-link-freetext" href="https://someserver.com/login/a4337bc45a8fc544c03f52dc550cd6e1e87021bc896588bd79e901e2">https://someserver.com/login/a4337bc45a8fc544c03f52dc550cd6e1e87021bc896588bd79e901e2</a>

I have inherited a system that provides a login for tablets which login in this manner.
(It needs an automated login for the tablets)
Obviously the url in required to be encrypted by always requiring https.


We often provide one time tokens like this when someone has forgotten their password.
But why not allow this to be a permanent login ?

Why is requiring a uid like above worst than a username,password ?  
I believe I am missing something stupid as you would see more of this kind of thing.
That makes be nervous.

Thanks for any feedback.
_______________________________________________
The Web Security Mailing List

WebSecurity RSS Feed
<a class="moz-txt-link-freetext" href="http://www.webappsec.org/rss/websecurity.rss">http://www.webappsec.org/rss/websecurity.rss</a>

Join WASC on LinkedIn <a class="moz-txt-link-freetext" href="http://www.linkedin.com/e/gis/83336/4B20E4374DBA">http://www.linkedin.com/e/gis/83336/4B20E4374DBA</a>

WASC on Twitter
<a class="moz-txt-link-freetext" href="http://twitter.com/wascupdates">http://twitter.com/wascupdates</a>

<a class="moz-txt-link-abbreviated" href="mailto:websecurity@lists.webappsec.org">websecurity@lists.webappsec.org</a>
<a class="moz-txt-link-freetext" href="http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org">http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org</a>
</pre>
      </blockquote>
      <pre wrap="">
</pre>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
The Web Security Mailing List

WebSecurity RSS Feed
<a class="moz-txt-link-freetext" href="http://www.webappsec.org/rss/websecurity.rss">http://www.webappsec.org/rss/websecurity.rss</a>

Join WASC on LinkedIn <a class="moz-txt-link-freetext" href="http://www.linkedin.com/e/gis/83336/4B20E4374DBA">http://www.linkedin.com/e/gis/83336/4B20E4374DBA</a>

WASC on Twitter
<a class="moz-txt-link-freetext" href="http://twitter.com/wascupdates">http://twitter.com/wascupdates</a>

<a class="moz-txt-link-abbreviated" href="mailto:websecurity@lists.webappsec.org">websecurity@lists.webappsec.org</a>
<a class="moz-txt-link-freetext" href="http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org">http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org</a>
</pre>
    </blockquote>
    <br>
  </body>
</html>