Tengo un cliente que aloja múltiples sitios en Apache. Están almacenando access.log y error.log de cada sitio en docroot bajo logs /, y son accesibles al público a través de la web.
Para mí, esto parece ser una mala práctica, pero no tengo ningún argumento bueno por qué es una mala cosa. Desde el punto de vista de la seguridad, ¿es algo malo que los registros sean de acceso público?
Si lo es. Por un lado, los registros pueden contener información personal, como direcciones IP. También pueden mostrar exactamente lo que vieron los usuarios y cuándo. Más importante aún, los registros de errores pueden incluso contener información confidencial si las cosas van mal, como contraseñas o tokens de sesión más probables. Por último, ver los errores exactos puede ayudar a los atacantes que intentan romper el sitio. Saber por qué exactamente lo que están haciendo no está funcionando es una gran ayuda.