La documentazione ObjectID afferma che gli ID generati automaticamente includono un ID macchina a 3 byte (presumibilmente un hash dell'indirizzo MAC). Non è inconcepibile che qualcuno possa capire cose sulla tua rete interna confrontando quei tre byte in vari ID, ma a meno che tu non stia lavorando per il Pentagono non sembra che valga la pena preoccuparsi (è molto più probabile che tu sia vulnerabile a qualcosa di più noioso come un Apache mal configurato).
A parte questo, Epcylon ha ragione; non c'è nulla di intrinsecamente insicuro nell'esporre gli ID tramite gli URL. Che sia brutto è un'altra questione, ovviamente. Puoi basarli64 per renderli più brevi (ci ho pensato io stesso), ma poi c'è il fatto strano che sono tutti circa la metà uguali.
