Si tengo un sitio web al que solo se puede acceder mediante la autenticación en una página de inicio de sesión, ¿es posible que una persona no autenticada tenga acceso a activos estáticos (imágenes, css, javascript, ...)?
Me imagino que la única forma en que podrían hacerlo sería mediante la fuerza bruta de las URL de alguna manera o de alguna manera saber dónde se encuentran los recursos en el servidor, pero no estoy seguro.
Depende de la configuración del servidor. Si configura el sitio para que el usuario se autentique con el propio servidor, entonces puede hacer que el servidor use los permisos de los usuarios y solo podrán acceder a los recursos a los que el usuario tiene acceso y puede negarlos a los usuarios no autenticados. .
Si la autenticación es, en cambio, una autenticación de nivel de sesión que se implementa en un lenguaje de scripts como PHP o similar, entonces el servidor no sabrá si se deben proporcionar los activos y dependería de sus scripts decidir qué servir . Si los recursos estáticos solo están protegidos porque la URL es desconocida, se podría acceder a ellos con este último enfoque.
Lea otras preguntas en las etiquetas authentication webserver protection