<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>Glenn, it's considered best practice not to send auth tokens in URL due to risks of upstream logging , also proxies and firewalls may log it and then making it permanent would only increase the risk.</div><div><br></div><div>Thanks </div><div>Subin <br><br>Sent from my iPhone</div><div><br>On Jan 28, 2013, at 4:13 AM, Glenn Pierce <<a href="mailto:glennpierce@gmail.com">glennpierce@gmail.com</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr"><div style="font-family:arial,sans-serif;font-size:13px">Hi I like to have opinions on the security of logging into a website</div><div style="font-family:arial,sans-serif;font-size:13px">with just a uid </div>

<div style="font-family:arial,sans-serif;font-size:13px">ie</div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px"><a href="https://someserver.com/login/a4337bc45a8fc544c03f52dc550cd6e1e87021bc896588bd79e901e2" target="_blank">https://someserver.com/login/a4337bc45a8fc544c03f52dc550cd6e1e87021bc896588bd79e901e2</a></div>

<div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">I have inherited a system that provides a login for tablets which login in this manner.</div><div style="font-family:arial,sans-serif;font-size:13px">

(It needs an automated login for the tablets)</div><div style="font-family:arial,sans-serif;font-size:13px">Obviously the url in required to be encrypted by always requiring https.</div><div style="font-family:arial,sans-serif;font-size:13px">

<br></div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">We often provide one time tokens like this when someone has forgotten their password.</div>

<div style="font-family:arial,sans-serif;font-size:13px">But why not allow this to be a permanent login ?</div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">

Why is requiring a uid like above worst than a username,password ?  </div><div style="font-family:arial,sans-serif;font-size:13px">I believe I am missing something stupid as you would see more of this kind of thing.</div>

<div style="font-family:arial,sans-serif;font-size:13px">That makes be nervous.</div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">Thanks for any feedback.</div>

</div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>The Web Security Mailing List</span><br><span></span><br><span>WebSecurity RSS Feed</span><br><span><a href="http://www.webappsec.org/rss/websecurity.rss">http://www.webappsec.org/rss/websecurity.rss</a></span><br><span></span><br><span>Join WASC on LinkedIn <a href="http://www.linkedin.com/e/gis/83336/4B20E4374DBA">http://www.linkedin.com/e/gis/83336/4B20E4374DBA</a></span><br><span></span><br><span>WASC on Twitter</span><br><span><a href="http://twitter.com/wascupdates">http://twitter.com/wascupdates</a></span><br><span></span><br><span><a href="mailto:websecurity@lists.webappsec.org">websecurity@lists.webappsec.org</a></span><br><span><a href="http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org">http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org</a></span><br></div></blockquote></body></html>