Я почему-то считал, что security by obscurity - занятие бесполезное. Сейчас в процессе чтения OWASP Security Testing Guide. Прочитал уже четверть, половина из неё посвящена тому, что надо менять header'ы серверов, имена cookies / структуру файлов фреймворков.
Есть даже совет о том, чтобы примешивать произвольные символы ко всем статическим файлам, поставляющимся с фреймворком / CMS (чтобы нельзя было по fingerprinting'у вычислить их использование) и даже (!) совет о добавлении файлов из других приложений и фреймворков, чтобы сбить с толку какиров и «пустить их по ложному следу».
Таки ваши мысли на этот счёт?