URIにユーザIDが含まれるWebアプリを使っていて、そのアプリ上の別サイトへのリンクを踏んだときに、リンク先サイトの運営者にWebアプリのユーザIDがバレるかもしれない、バレたら怖い、というのであれば、やはりリファラ送信をオフにするしかないと思う。これだけが理由ではないけれど、ぼくはオフにしている。
仮にぼくが、リファラ送信をオンにした状態で、それでもIDバレを防ぎたいと思ったら、リンク先のURIをいちいちコピペするだろう。
その手間すらかけたくなければ、Webアプリの運営者に「リダイレクタをかましてほしい」とか「URIを変えてほしい」とかリクエストするだろう。実装されるまでは利用を控える。
ぼくがWebアプリの運営者なら、アクティブユーザが多いにこしたことはないので、リクエストに応えるかもしれない。その場合はリダイレクタを選択すると思う。REST(ROA)にこだわるようだけれど、URI設計時にユーザIDを含めるのが妥当だと判断したのなら、その判断を少々のことでは取り下げたくない。