<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div><div style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(175, 192, 227, 0.230469); -webkit-composition-frame-color: rgba(77, 128, 180, 0.230469); ">yep, after the domain name its all encrypted via http(s). but it would still be in the clear in the web server logs.</div><div style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(175, 192, 227, 0.230469); -webkit-composition-frame-color: rgba(77, 128, 180, 0.230469); "><br></div><div style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(175, 192, 227, 0.230469); -webkit-composition-frame-color: rgba(77, 128, 180, 0.230469); ">-phil</div><br>On Jan 28, 2013, at 3:07 PM, Glenn Pierce <<a href="mailto:glennpierce@gmail.com">glennpierce@gmail.com</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr">Thanks for the good ideas everyone. I have a few things to think about.<div><br></div><div style="">When accessing through https what will upstream proxies log ? Just the encrypted url right ?</div></div><div class="gmail_extra">

<br><br><div class="gmail_quote">On 28 January 2013 09:13, Glenn Pierce <span dir="ltr"><<a href="mailto:glennpierce@gmail.com" target="_blank">glennpierce@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div dir="ltr"><div style="font-family:arial,sans-serif;font-size:13px">Hi I like to have opinions on the security of logging into a website</div><div style="font-family:arial,sans-serif;font-size:13px">with just a uid </div>


<div style="font-family:arial,sans-serif;font-size:13px">ie</div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px"><a href="https://someserver.com/login/a4337bc45a8fc544c03f52dc550cd6e1e87021bc896588bd79e901e2" target="_blank">https://someserver.com/login/a4337bc45a8fc544c03f52dc550cd6e1e87021bc896588bd79e901e2</a></div>


<div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">I have inherited a system that provides a login for tablets which login in this manner.</div><div style="font-family:arial,sans-serif;font-size:13px">


(It needs an automated login for the tablets)</div><div style="font-family:arial,sans-serif;font-size:13px">Obviously the url in required to be encrypted by always requiring https.</div><div style="font-family:arial,sans-serif;font-size:13px">


<br></div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">We often provide one time tokens like this when someone has forgotten their password.</div>


<div style="font-family:arial,sans-serif;font-size:13px">But why not allow this to be a permanent login ?</div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">


Why is requiring a uid like above worst than a username,password ?  </div><div style="font-family:arial,sans-serif;font-size:13px">I believe I am missing something stupid as you would see more of this kind of thing.</div>


<div style="font-family:arial,sans-serif;font-size:13px">That makes be nervous.</div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">Thanks for any feedback.</div>


</div>
</blockquote></div><br></div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>The Web Security Mailing List</span><br><span></span><br><span>WebSecurity RSS Feed</span><br><span><a href="http://www.webappsec.org/rss/websecurity.rss">http://www.webappsec.org/rss/websecurity.rss</a></span><br><span></span><br><span>Join WASC on LinkedIn <a href="http://www.linkedin.com/e/gis/83336/4B20E4374DBA">http://www.linkedin.com/e/gis/83336/4B20E4374DBA</a></span><br><span></span><br><span>WASC on Twitter</span><br><span><a href="http://twitter.com/wascupdates">http://twitter.com/wascupdates</a></span><br><span></span><br><span><a href="mailto:websecurity@lists.webappsec.org">websecurity@lists.webappsec.org</a></span><br><span><a href="http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org">http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org</a></span><br></div></blockquote></body></html>