Sigue siendo seguridad por oscuridad, lo mejor nuevamente lo digo, es validar en el servidor, si el usuario puede mandar un mensaje a ese otro usuario, en caso de que no le mandas un mensaje de error, así ya si el usuario cambia el ID pues sera mucho su problema, si esta dentro los permisos.

Siempre es bueno tener un ACL para ello, validar en el servidor que X usuario puede hacer Y acción, si confías en lo que viene por POST o GET, pues ahí es donde te pueden atacar...