Non è particolarmente pericoloso, quindi a meno che non ci sia qualcosa di critico da nascondere in questa classe o se la classe fa parte di un percorso critico (come una stretta di mano sicura o una funzionalità "nascosta"), non prenderei in considerazione questo è un problema.
Inoltre, stiamo parlando di Java qui. Quindi, se stiamo parlando di un'app lato client che esegue Java sul client, possono sempre modificare il loro JRE per utilizzare le loro routine di debug e / o usare un classloader personalizzato e accedere alle classi praticamente in qualsiasi modo. Rendere più difficile per loro (nascondendo il codice più profondo, o addirittura offuscando il codice) è sempre una possibilità, ma di solito non è economicamente conveniente se si considera il tempo e lo sforzo necessari per raggiungere questo obiettivo contro la perdita causata da statistiche statisticamente improbabili utenti malintenzionati.
Se stiamo parlando di una parte del software lato server che può generare log per i client (ad esempio, per il browser dell'utente), allora probabilmente non è un affare troppo grande, ma è già più semplice da risolvere: configurare il contenitore di conseguenza, e utilizzare un framework di registrazione o multiplexer per l'output su file appropriati sul server per scopi di debug invece. In questo modo puoi conservare i record utili per il debug ma non compromettere le informazioni potenzialmente utili.
Ma in generale, questo probabilmente non sarebbe un problema. è più quello che metti nel messaggio di debug che potrebbe essere un problema, dato che tendiamo spesso come sviluppatori a generare le cose su cui lavoriamo (non vuoi lasciare questi output di debug per nomi utente, password, sali e token di sicurezza in chiara visione ).