Hi,

So klar ist das gar nicht. Du gehst davon aus, dass alle URLs auf allen Hosts für alle bekannt und sichtbar sein sollen.

Du gehst doch nicht davon aus, dass sie „unsichtbar“ blieben, nur weil du sie nicht aktiv publik machst?

Denn:

Das ist nicht der Fall.

Viele Inhalte sind privat, haben aber URLs, weil wir uns im Web befinden.

Und sie haben entsprechenden Zugriffsschutz implementiert, wenn die Informationen, die unter ihnen ausgeliefert werden, nicht öffentlich sein sollen.

Wenn der Server nicht 404 zurückgibt, ist es sehr einfach, durch Crawler alle privaten URLs herauszubekommen.

Dagegen gibt’s ja bspw. HTTP Auth.

Die URLs können bereits Aufschluss über Inhalte geben. Wenn sie das nicht täten, wären es schlechte URLs.

Und eben damit wären wir doch wieder exakt bei Security through Obscurity – die Sicherheit deiner Information (diesmal nur der im URL enthaltenen) basiert darauf, dass sie niemand „kennt“.

Wie leicht der URL an sich “leaken” kann, brauche ich dir nicht erzäehlen.

Ergo gehört diese Information für mich *nicht* in den URL, wenn sie derart sensibel ist.

MfG ChrisB