Ho un cliente che ospita più siti in Apache. Stanno memorizzando access.log di ogni sito e error.log nel docroot sotto logs /, e sono accessibili pubblicamente tramite il web.
Per me, sembra una cattiva pratica, ma non ho argomenti validi sul perché sia una brutta cosa. Dal punto di vista della sicurezza, è una cattiva cosa che i registri siano accessibili pubblicamente?
Sì, lo è. Per uno, i registri possono contenere informazioni personali, come gli indirizzi IP. Possono anche mostrare che cosa hanno visualizzato e quando gli utenti sono esattamente. Ancora più importante, i log degli errori possono anche contenere informazioni riservate se le cose vanno male, come password o più token di sessione probabili. Infine, vedere errori esatti può aiutare gli aggressori, che stanno cercando di rompere il sito. Sapere perché esattamente quello che stanno facendo non funziona è un grande aiuto.