Ninguna de las dos es necesariamente más segura, pero le daré algunas opiniones y quizás hechos.
Host-extract puede determinar los nombres de host, que también es posible a través de enumeración de host virtual .
DirBuster , skipfish , y fuzzdb puede confiar en navegación forzada , índices de directorio y ubicaciones de recursos predecibles para encontrar Estructuras de directorio vulnerables y otras cuestiones. Las arañas y rastreadores pueden atravesar directorios, y algunos también pueden atravesar nombres de host (sé que skipfish es capaz de hacer esto).
De alguna manera, el alojamiento virtual es más difícil de administrar (usted mencionó SSL, lo cual es un gran punto). Si esto es fácil de administrar, puede terminar siendo más seguro debido a la capacidad de los directorios para filtrar mucha más información que los nombres de host y para ser más vulnerables a ataques como XSS (como lo describe @Rook en su respuesta). ).
Prefiero al menos separar los sitios (por nombre de host) que contienen comportamiento (por ejemplo, Flash, Ajax, bibliotecas de Javascript, marcos RIA, páginas dinámicas, etc.) en lugar de los que tienen formato o contenido estático (HTML, CSS, XHTML, páginas no dinámicas). Creo que también es una buena práctica separar los dominios SSL de los dominios no SSL. El motivo es que puede proporcionar controles más estrictos sobre el escape de contexto en los nombres de host SSL / TLS que en los nombres de host no SSL / TLS. Si separa Javascript de CSS de HTML, entonces sabrá qué codificación contextual debe tener lugar en qué nombres de host también. Tengo más sugerencias sobre cómo manejar XSS en esta publicación donde menciono a no compila HTML en el servidor y otros tidbits .
Por lo general, esto nunca depende de un profesional de seguridad, o un equipo de seguridad. Depende de los desarrolladores, comercializadores y expertos en SEO. Ellos deciden qué obtiene un nombre de host o una estructura URI. Investigaré más sobre este tema y actualizaré mi respuesta a medida que obtenga nueva información. Es una pregunta interesante.