He estado escribiendo una aplicación Django y casi la publico con el modo de depuración activado. La documentación de Django indica
Nunca despliegue un sitio en producción con DEBUG activado.
¿Captaste eso? NUNCA despliegue un sitio en producción con DEBUG activado.
Una de las características principales del modo de depuración es la visualización de páginas de error detalladas. Si su aplicación genera una excepción cuando DEBUG es Verdadero, Django mostrará un seguimiento detallado, que incluye una gran cantidad de metadatos sobre su entorno, como todas las configuraciones de Django definidas actualmente (de settings.py).
¿Entonces me pregunto cuánta información podría ganar un atacante malicioso en una aplicación típica? ¿Los usuarios inician sesión? ¿Todo tu código?