Ho un sito web statico e la sua sicurezza dipende da chi non sa che un file segreto è su example.com/Path/To/Secret/File.pdf. Supponendo che il percorso del file non sia generato casualmente, è sicuro?
Aggiornamento: il percorso non è così oscuro. Sarebbe come domain.tld / Files / Password.txt. Niente di simile a GUID o stringhe casuali.
Per rispondere alla domanda nel titolo, sì, questa è sicurezza attraverso l'oscurità.
Mentre la comunità della sicurezza generalmente disapprovante, in alcune situazioni che possono essere appropriate - per esempio, file semi-privati su un CDN, con una lunga stringa casuale nell'URI, a cui è necessario accedere da una varietà di client per i quali è difficile gestire l'autenticazione.
La situazione, tuttavia, è leggermente diversa, in quanto esplicitamente non si utilizza un nome file difficile da indovinare. Ciò significa che qualcuno a cui non è mai stato dato l'accesso al file ha ancora una ragionevole possibilità di trovarlo.
Un problema più ampio con questo tipo di sicurezza è che non è possibile revocare facilmente l'accesso per utenti specifici. Se a una persona è stato concesso l'accesso, continuano ad avere accesso, il che può essere un problema se, ad esempio, fossero dipendenti e ora abbiano lasciato l'azienda. Permette anche a loro di inviare il link ad altri, sia in forma pubblica che privata, e gli altri avranno ora accesso, anche se non intendevi concederlo a loro. Di nuovo, in alcune situazioni questo è accettabile (se si tratta di un file che non viene aggiornato frequentemente, potrebbe semplicemente salvarlo sul proprio computer e ottenere la stessa cosa), ma questo dipenderà dalla situazione.
Leggi altre domande sui tag web-application