Hallo Matthias,

Kommentar: Etwas mehr Nuance wäre angebracht. Obskuranz wird immer angewendet. Niemand ausser ich soll mein Passwort kennen. Und es ist letztlich die einzige Methode, der wir Vertrauen. Es geht also darum, Obskuranz an möglichst nicht angreifbare Methoden zu heften, wo die Wahrscheinlichkeit für Informations-Lecks auch am geringsten ist.

Im Fall von 'geheimen' Links sind gerade die Möglichkeiten von Informations-Lecks gross. Dazu kann es genügen, einen solchen Link zu bookmarken.

Tut mir leid, aber das ist totaler Bullshit. Ein Passwort ist ein Geheimnis (Secret), keine Verschleierung (Obscurity).

Security by Obscurity bezeichnet ein Vorgehen, bei dem man sich darauf verlässt, dass ein potentieller Angreifer einen Zugriff nicht erlangt, weil er nicht genau weiß, wie das System aufgebaut ist: etwa habe ich eine URL, die es erlaubt etwas zu löschen, aber sie ist nur dem Admin bekannt. Die Annahme, dass niemand diesen Link kennt und es deshalb sicher ist, ist Security by Obscurity. Die Praxis hat gezeigt, dass diese Annahme prinzipiell nicht als gegeben anzunehmen ist. Dieses Konzept funktioniert nicht. Stattdessen geht man davon aus, dass der Angreifer potentiell jedes Detail des Systems kennt. Diese Annahme führt zu einer paranoideren Denkweise und deshalb dazu, dass man Zugriffsrechte genauer prüft, Zugriffe schützt und ähnliches.

Das Obscurity hat mit Geheimnissen (im Sinne von Keys und Passwörtern) überhaupt gar nichts zu tun.

LG,
CK