Eu înțeleg ce vrea să spună OP și în general tind să am aceeași opinie.
Deși securitatea prin obscuritate nu elimină riscul teoretic de a fi “spart”, poate reduce drastic șansele practice de a se întâmpla acest lucru.
De exemplu, probabil mulți dintre noi schimbă portul pe care ascultă ssh-ul. Din acest motiv, chiar dacă apare un 0-day vulnerability pe ssh, este foarte probabil ca cei care au făcut acest lucru să scape neafectați, sau măcar să câștige timp până apare un bugfix. De ce? Din simplul motiv că boții care scanează după vulnerabilitățile ssh-ului s-ar putea să nu ghicească portul, nu în timp util sau nu în timpul vieții noastre, decât dintr-un noroc chior.
La fel și pentru o aplicație web non-standard, o astfel de aplicație nu este interesantă pentru a fi spartă, din simplul motiv că nu merită efortul să o spargi, multă muncă, pentru un câștig minimal.
De altfel, forțând un pic, autetificarea prin user și parolă este prin definiție securitate prin obscuritate, right? În cele din urmă parola poate fi ghicită, întrebarea e dacă merită efortul.
LE Apropo de chestia asta, am mai argumentat pe tema obscurității: Securitate prin obscuritate