Tengo un sitio web estático y su seguridad depende de que la gente no sepa que hay un archivo secreto en example.com/Path/To/Secret/File.pdf. Suponiendo que la ruta al archivo no se genere al azar, ¿es seguro?
Actualización: la ruta no es tan oscura. Sería como domain.tld / Files / Password.txt. No hay nada como GUID o cadenas aleatorias.
Para responder a la pregunta en el título, sí, eso es seguridad a través de la oscuridad.
Si bien la comunidad de seguridad generalmente no ve bien eso, en algunas situaciones puede ser apropiado, por ejemplo, archivos semiprivados en un CDN, con una larga cadena de caracteres aleatorios en el URI, a los que se debe acceder mediante una variedad de clientes para los que es difícil manejar la autenticación.
Sin embargo, su situación es un poco diferente, ya que explícitamente no está usando un nombre de archivo difícil de adivinar. Esto significa que alguien a quien nunca se le ha dado acceso al archivo todavía tiene una posibilidad razonable de encontrarlo.
Un problema más amplio con este tipo de seguridad es que no puede revocar fácilmente el acceso para usuarios específicos. Si a una persona se le ha otorgado acceso, continúa teniendo acceso, lo que puede ser un problema si, por ejemplo, eran empleados y ahora han dejado la compañía. También les permite enviar el enlace a otros, ya sea de forma pública o privada, y los demás tendrán ahora acceso, incluso si no tenía la intención de otorgarlos. Nuevamente, en algunas situaciones esto es aceptable (si es un archivo que no se actualiza con frecuencia, simplemente podrían guardarlo en su computadora y lograr lo mismo), pero esto dependerá de su situación.
Lea otras preguntas en las etiquetas web-application