Poche cose sono sempre buone o sempre cattive. Dipende dal contesto.
Se i file nella tua directory sono solo file statici che desideri possano essere scaricati dagli utenti, l'attivazione dell'elenco di directory va bene. Questo è abbastanza comune per es. distribuzioni software, dove potresti avere cartelle diverse per versioni diverse, sistemi operativi, ecc. Lasciare che l'utente curiosare in queste non sia dannoso, probabilmente è il caso d'uso per cui hai costruito il sito.
D'altra parte, se stai ospitando qualcosa di più complesso come un'applicazione web dinamica, attivare l'elenco di directory è probabilmente una cattiva idea. Si rischia di esporre la struttura interna dei programmi o anche peggio di tutti i tipi di file di configurazione o di registro contenenti dati sensibili. È facile perdere inavvertitamente la password del DB in questo modo.
Un altro aspetto da tenere in considerazione è che l'elenco delle directory probabilmente telegraph il server web che stai usando, e forse anche quale versione. Si può o non può importare di questo.
Quindi, la linea di fondo è questa: assicurati che l'elenco delle directory sia disattivato, a meno che tu non sappia cosa stai facendo, stai solo servendo file statici non sensibili e hai un caso d'uso specifico che deve essere acceso.