¿Es lo suficientemente seguro tener un GUID en una URL https? ¿Existe algún riesgo de seguridad al utilizar esta forma de autenticar usuarios?
También se pueden tomar medidas para hacer que este tipo de URL sea más seguro.
Un identificador de sesión debe ser un parámetro de Cookie y nunca debe aparecer en la URL. Cualquier valor en la URL A se mostrará en el encabezado del remitente, así como los archivos de registro de acceso. Una aplicación web terminará transmitiendo las credenciales de autenticación a otros sitios web y almacenándolas en texto sin formato en el sistema de archivos.
Además, cuando pasa un ID de sesión en la URL, abre la puerta para Fijación de sesión .
Lea otras preguntas en las etiquetas web-application tls