只要它们的名称（带有完整路径）保持秘密，您的“秘密文件”就会保持秘密。您可以将路径视为一种密码。请注意，路径会泄漏到各个地方（代理、Web 服务器日志、浏览器的历史记录......）。如果文件重要且敏感，您应该正确地做事：

• 使用 SSL 上传和访问这些文件。
• 为文件所在的目录设置访问密码。

这样，您就回到了已知水域：您拥有一个（部分）网站，其中包含敏感数据并受密码保护。让它变得强大，你就准备好了。

在子域的情况下：“子域”通过DNS向整个世界通告。可以配置 DNS 服务器，使外人无法轻松枚举域的所有子域，但这需要一些小心。此外，每当您访问该子域时，您的机器都会使用 DNS 查询（针对相应的 IP 地址）；这些查询在没有任何特殊保护的情况下传播，并且包含子域名。因此，这很容易成为被动窃听者（即“与您连接到同一个 WiFi 接入点的人”）的猎物。相信子域的保密性会过于乐观。

我看到路径泄漏的四种可能性

1）蛮力

2）您主机上的恶意软件

3) 意外 =) 您可以将此路径分享给某人或忘记删除，或意外从某个地方链接此路径。

4）谷歌浏览器=）因为谷歌使用来自chrome（可能还有ff）的信息来提供爬虫

同样的事情是关于 dns。依赖路径是不好的做法。

还有另一种泄露“秘密”网页信息的方式：当页面调用其他材料（网页，还有 javascript 或样式表）时，referer 标头会指向该页面。

一个常见的场景是直接从 code.google.com 加载流行的 JQuery.js，将网页泄露给 Google 搜索。

在这种情况下，访问统计信息也会暴露给 Google。

请注意，这种泄漏不能通过要求 https 来规避。到目前为止，密码保护有所帮助，因为只有秘密页面的名称和路径，而不是其内容被公开。

将所有内容保留在本地。

关于管理页面的第一个问题：如果您在使用完网页后将其删除，那么将没有人能够找到它们。但是，如果您将它们留在服务器上，则可以找到它们。有一些网站扫描工具可以使用字典扫描您的网站以查找“隐藏”资源。

为了更好地更好地保护这些文件，我会添加目录访问控制。如果您使用的是 Apache，请查看.htaccess。我还将配置 robots.txt 文件以指示搜索引擎不要抓取您想要隐藏的区域。

关于子域的第二个问题：很容易发现网站的子域。攻击者可以尝试让您的 DNS 服务器放弃信息，或者他们可以简单地使用 Google 来发现这些域。例如，假设您要查找 yahoo.com 的所有子域，请尝试 Google 搜索“site:yahoo.com -www”。Google 已抓取的所有子域都列在搜索结果中。一个快速的 Python 脚本来解析这些，瞧！