Dokumentacja ObjectID stwierdza, że automatycznie generowane identyfikatory zawierają 3-bajtowy identyfikator maszyny (przypuszczalnie skrót adresu MAC). Nie jest wykluczone, że ktoś mógłby dowiedzieć się czegoś o twojej sieci wewnętrznej, porównując te trzy bajty w różnych identyfikatorach, ale chyba że pracujesz dla Pentagonu, który nie wydaje się wart zamartwiania (jesteś znacznie bardziej podatny na coś bardziej nudnego, jak źle skonfigurowany Apache).
Poza tym Epcylon ma rację; nie ma nic z natury niepewnego w ujawnianiu identyfikatorów przez adresy URL. Czy jest brzydkie to oczywiście inna sprawa. Możesz je base64, aby były krótsze (sam o tym myślałem), ale jest też dziwny fakt, że wszystkie są mniej więcej w połowie takie same.
