Почему небезопасно показывать ID пользователя в URL, и чем его заменить?

Дайте линк, где вы прочитали, что показывать небезопасно

Небезопасно читать говнобложики.

sim3x, как-то делал тестовое задание для одних ребят. Помимо всего прочего, там нужно было сделать подтверждение регистрации по ссылке, отправленной на email. Я сделал, что-то типа такого
site.com/confirm?id=12&confirmtoken=2faoihoirh38y

Мне указали, что так делать небезопасно. Плюс сейчас делаю приложение с фрондендщиком, он говорит, что на старой его работе за такое по рукам били, и настаивает, что бы я все переделал. А я понять не могу что тут такого, ведь запросить, например, пост по id - site.com/post/234 - это в порядке вещей, а вот юзера вдруг небезопасно.

sim3x, Сергей, Например неупорядоченные id пользователей усложнят парсинг профилей.

Павел, Почему не безопасно?

Пусть отвечающий пояснит на пальцах, как можно проексплуатировать уязвимость

Александр Таратин, К безопасности ето не имеет прямого отношения

Павел,

Мне указали, что так делать небезопасно.

Вам объяснили почему? Вы спросили?

Плюс сейчас делаю приложение с фрондендщиком, он говорит, что на старой его работе за такое по рукам били, и настаивает, что бы я все переделал.

Ему, видимо, тоже не стали объяснять, а он по инерции вас дрочит. =))

Павел, Касательно озвученного кейса — зачем там вообще ID? Сгенерили какой-то уникальный хеш, записали у себя, что такой-то хеш соотнесен с таким акком. Отправили ссылку на мыло только с этим хешем.