Im Prinzip richtig, nur hat halt niemand eine TAN erwogen ausser Dir gerade. Und den Grund hast Du ja auch gerade geliefert: bringt nicht so viel
Es wäre sinnvoller einem authentifizierten User ausschliesslich Zugriff auf seine Daten zu geben.
Genau. Sofern nicht anderweitig geschützt. Das ist das Problem, nicht die fortlaufende ID. Persönliche Daten hinter einer zufälligen ID zu verstecken statt hinter einem Zugriffsschutz ist “security by obscurity”. Man kann immer noch mit Brute-Force die Daten bekommen. Der Zugriff ist immer noch möglich, nur dauert er eventuell länger.
Richtig wäre es gewesen jedem Link eine eindeutige Kennung zuzuordnen, die nur Zugriff auf die relevanten IDs hat.
Dieser Spinn “oh, ein Fehler, die IDs waren fortlaufend, passiert schon mal” verdeckt die beiden tatsächlichen Probleme:
Was ist denn das Problem mit einer fortlaufenden ID?
This is not true. There are lots of places where ssh/vpn is blocked by a firewall while https usually is allowed. So if you want to access/push code while travelling it might be really helpful to have https access to the repo. That was the only reason for me to set up gitlab years ago.