Passar credenciais por domínio não seguro e não público

How easy is it for someone to intercept the logging-in users credentials? Given that the url would not be known?

Seria trivial interceptar as credenciais de login se você não estiver criptografando o tráfego. Um invasor não precisaria conhecer a URL - isso não seria um problema. Um cliente da Star Bucks, usando wifi aberto, transmitiria tudo sem criptografia, incluindo nome de usuário, senha e sua URL "desconhecida", etc., para qualquer pessoa que tenha um sniffer para ver. O mesmo se aplica aos usuários em uma rede com fio e não comutada. Com uma rede comutada com fios, um invasor pode usar uma porta espelhada ou semelhante.

Corrija seu aplicativo para trabalhar com SSL.

Além do que já foi dito sobre interceptação de tráfego quando não criptografado, talvez seu maior problema seja a segurança através da obscuridade.

Você confia que seus usuários não falem.

Você está dando um nome de domínio "secreto" para as pessoas que o usarão em público? Vocês estão realmente preocupados com segurança? Eu conheço pessoas que nem sequer guardam seu PIN do caixa eletrônico. E os usuários que são demitidos ou desistem? Ou falar com você no telefone para obter suporte sobre algum problema e apenas blá blá blá em público sua URL secreta?

E se você tiver esse domínio na Internet, ele estará em um banco de dados e será pesquisado por spiders para mecanismos de pesquisa. Algo está destinado a aparecer de alguma forma.

Em suma, se você tem usuários por aí e está confiando neles para não falar sobre isso, você terá um problema.

É claro que além de surfar no ombro, homem na interceptação intermediária, etc ...

Resposta curta: é altamente altamente insegura.