La documentation ObjectID indique que les ID générés automatiquement incluent un ID de machine de 3 octets (vraisemblablement un hachage de l'adresse MAC). Il n'est pas inconcevable que quelqu'un puisse comprendre des choses sur votre réseau interne en comparant ces trois octets dans divers identifiants, mais à moins que vous ne travailliez pour le Pentagone, cela ne semble pas valoir la peine de s'inquiéter (vous êtes beaucoup plus susceptible d'être vulnérable à quelque chose de plus ennuyeux comme un Apache mal configuré).
A part ça, Epcylon a raison; il n'y a rien d'intrinsèquement dangereux à exposer des identifiants via des URL. Que ce soit laide est une autre affaire, bien sûr. Vous pouvez les baser64 pour les raccourcir (j'y ai pensé moi-même), mais il y a le fait étrange qu'ils sont tous à peu près identiques.
