メールにDBのIDを表示する危険性

> ええと、IDはURLのパラメータではなく、メール本文に「あなたはNo.○○○です」というふうに、表示するだけです。URLのパラメータで送るのは、ランダム生成の文字列のみです。 > > 単なる数字であるIDがネットに流れるだけでも、危険性があるのでしょうか？ なるほど、そういうことであれば、セキュリティテストをパスしている前提で、メールに記述することがマズイということはなさそうです。 逆に運用上必要だったりとか？ ユーザを識別するためにお客様番号を通知すること自体は良くあることですね。 ん？でも、これは会員登録時のIDですよね？これはそのままシステム内の会員IDになったりするんですか？ といいますか、会員登録をするときの、メールを入力→メール送信→メールのURLをクリック→会員情報入力のような流れのメールだと思っていたのですが、認識が違いますでしょうか？ そうであれば、そもそもここで会員No.って、どういうシチュエーションで必要になるのでしょう？ そうでなくて、会員登録完了後の「会員登録ありがとうございました。」のメールで、「あなたの会員No.は◯◯◯です。このメールは大切に保存しておいてください」的なものでしたら、運用上必要になる場合もあり得ると思います。 （その時も前後を推測しにくい、システム上のIDとはことなる”お客様ID”だったら素敵。単純に通番だと、サイトの会員数がバレたりとか。。） ですが、その場合は安易にログイン出来てしまうURLは必要なのかなと思います。 このページからログインしてくださいのURLなら理解できるのですが。 もし、運用を考えて特に必要ではないという情報でしたら、積極的に公開して攻撃をしたいと思っている人に材料を与える必要はない。という意味で上司の方の仰っている事も理解できなくはないです。 さて、そのメールで必須な情報とはなんでしょう？ ＃あっ。なんかデジャヴってます。