<html><body><div style="color:#000; background-color:#fff; font-family:times new roman, new york, times, serif;font-size:12pt"><div><font class="Apple-style-span" size="3">People often do confuse whether URI is encrypted when HTTPS is used. It is indeed and as phil mentioned, only domain name and a bit other network information is logged on </font>transparent proxies. T</div><div style="color: rgb(0, 0, 0); font-size: 16px; font-family: 'times new roman', 'new york', times, serif; background-color: transparent; font-style: normal; "><font class="Apple-style-span" size="3">Though password less login is great idea, it has some practical disadvantages like remembering very long URL with token, expiry of those tokens. It might work in some small set-up of enterprise level web app but difficult to scale in multi-user applications.</font></div><div style="color: rgb(0, 0, 0); font-size: 16px; background-color: transparent; font-family: 'times new roman',
 'new york', times, serif; font-style: normal; "><font class="Apple-style-span" size="3"><br></font></div><div style="color: rgb(0, 0, 0); font-size: 16px; background-color: transparent; font-family: 'times new roman', 'new york', times, serif; font-style: normal; "><font class="Apple-style-span" size="3">-Rohit </font></div><div style="color: rgb(0, 0, 0); font-size: 16px; font-family: 'times new roman', 'new york', times, serif; background-color: transparent; font-style: normal; "><br></div>  <div style="font-size: 12pt; font-family: 'times new roman', 'new york', times, serif; "> <div style="font-size: 12pt; font-family: 'times new roman', 'new york', times, serif; "> <div dir="ltr"> <font size="2" face="Arial"> <hr size="1">  <b><span style="font-weight:bold;">From:</span></b> BSDwiz <bsdwiz@gmail.com><br> <b><span style="font-weight: bold;">To:</span></b> Glenn Pierce <glennpierce@gmail.com> <br><b><span style="font-weight:
 bold;">Cc:</span></b> "websecurity@lists.webappsec.org" <websecurity@lists.webappsec.org> <br> <b><span style="font-weight: bold;">Sent:</span></b> Monday, January 28, 2013 4:23 PM<br> <b><span style="font-weight: bold;">Subject:</span></b> Re: [WEB SECURITY] Password-less login ?<br> </font> </div> <br>
<meta http-equiv="x-dns-prefetch-control" content="off"><div id="yiv1805616323"><div><div><div style="">yep, after the domain name its all encrypted via http(s). but it would still be in the clear in the web server logs.</div><div style=""><br></div><div style="">-phil</div><br>On Jan 28, 2013, at 3:07 PM, Glenn Pierce <<a rel="nofollow" ymailto="mailto:glennpierce@gmail.com" target="_blank" href="mailto:glennpierce@gmail.com">glennpierce@gmail.com</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr">Thanks for the good ideas everyone. I have a few things to think about.<div><br></div><div style="">When accessing through https what will upstream proxies log ? Just the encrypted url right ?</div></div><div class="yiv1805616323gmail_extra">

<br><br><div class="yiv1805616323gmail_quote">On 28 January 2013 09:13, Glenn Pierce <span dir="ltr"><<a rel="nofollow" ymailto="mailto:glennpierce@gmail.com" target="_blank" href="mailto:glennpierce@gmail.com">glennpierce@gmail.com</a>></span> wrote:<br><blockquote class="yiv1805616323gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

<div dir="ltr"><div style="font-size: 13px; font-family: arial, sans-serif; ">Hi I like to have opinions on the security of logging into a website</div><div style="font-size: 13px; font-family: arial, sans-serif; ">with just a uid </div>


<div style="font-size: 13px; font-family: arial, sans-serif; ">ie</div><div style="font-size: 13px; font-family: arial, sans-serif; "><br></div><div style="font-size: 13px; font-family: arial, sans-serif; "><a rel="nofollow" target="_blank" href="https://someserver.com/login/a4337bc45a8fc544c03f52dc550cd6e1e87021bc896588bd79e901e2">https://someserver.com/login/a4337bc45a8fc544c03f52dc550cd6e1e87021bc896588bd79e901e2</a></div>


<div style="font-size: 13px; font-family: arial, sans-serif; "><br></div><div style="font-size: 13px; font-family: arial, sans-serif; ">I have inherited a system that provides a login for tablets which login in this manner.</div><div style="font-size: 13px; font-family: arial, sans-serif; ">


(It needs an automated login for the tablets)</div><div style="font-size: 13px; font-family: arial, sans-serif; ">Obviously the url in required to be encrypted by always requiring https.</div><div style="font-size: 13px; font-family: arial, sans-serif; ">


<br></div><div style="font-size: 13px; font-family: arial, sans-serif; "><br></div><div style="font-size: 13px; font-family: arial, sans-serif; ">We often provide one time tokens like this when someone has forgotten their password.</div>


<div style="font-size: 13px; font-family: arial, sans-serif; ">But why not allow this to be a permanent login ?</div><div style="font-size: 13px; font-family: arial, sans-serif; "><br></div><div style="font-size: 13px; font-family: arial, sans-serif; ">


Why is requiring a uid like above worst than a username,password ?  </div><div style="font-size: 13px; font-family: arial, sans-serif; ">I believe I am missing something stupid as you would see more of this kind of thing.</div>


<div style="font-size: 13px; font-family: arial, sans-serif; ">That makes be nervous.</div><div style="font-size: 13px; font-family: arial, sans-serif; "><br></div><div style="font-size: 13px; font-family: arial, sans-serif; ">Thanks for any feedback.</div>


</div>
</blockquote></div><br></div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>The Web Security Mailing List</span><br><span></span><br><span>WebSecurity RSS Feed</span><br><span>http://www.webappsec.org/rss/websecurity.rss</span><br><span></span><br><span>Join WASC on LinkedIn http://www.linkedin.com/e/gis/83336/4B20E4374DBA</span><br><span></span><br><span>WASC on Twitter</span><br><span>http://twitter.com/wascupdates</span><br><span></span><br><span><a rel="nofollow" ymailto="mailto:websecurity@lists.webappsec.org" target="_blank" href="mailto:websecurity@lists.webappsec.org">websecurity@lists.webappsec.org</a></span><br><span>http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org</span><br></div></blockquote></div></div><meta http-equiv="x-dns-prefetch-control" content="on"><br>_______________________________________________<br>The Web Security Mailing List<br><br>WebSecurity RSS Feed<br><a
 href="http://www.webappsec.org/rss/websecurity.rss" target="_blank">http://www.webappsec.org/rss/websecurity.rss</a><br><br>Join WASC on LinkedIn <a href="http://www.linkedin.com/e/gis/83336/4B20E4374DBA" target="_blank">http://www.linkedin.com/e/gis/83336/4B20E4374DBA</a><br><br>WASC on Twitter<br><a href="http://twitter.com/wascupdates" target="_blank">http://twitter.com/wascupdates</a><br><br><a ymailto="mailto:websecurity@lists.webappsec.org" href="mailto:websecurity@lists.webappsec.org">websecurity@lists.webappsec.org</a><br><a href="http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org" target="_blank">http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org</a><br><br><br> </div> </div>  </div></body></html>