ObjektID-dokumentationen anger att de automatiskt genererade ID:n inkluderar ett 3-byte maskin-ID (förmodligen en hash av MAC-adressen). Det är inte otänkbart att någon skulle kunna ta reda på saker om ditt interna nätverk genom att jämföra de tre byten i olika id, men om du inte arbetar för Pentagon verkar det inte vara värt att oroa sig för (du är mycket mer benägen att vara sårbar för något tråkigare som en felkonfigurerad Apache).
Annat än det, Epcylon har rätt; det finns inget i sig osäkert med att exponera id:er via webbadresser. Oavsett om det är fult är en annan sak förstås. Du kan basera64 dem för att göra dem kortare (har tänkt på det här själv), men sedan finns det konstiga faktum att de alla är ungefär hälften likadana.