debug =“ true”でWebアプリを実行するセキュリティリスクはありますか？

潜在的な攻撃者にソースコード、スタックトレースなどへの潜在的なアクセスを許可することにより、システムへの攻撃に焦点を絞ったり狭めたりすることができます。

また、（テストしていませんが）debug = trueが予想されるサイトのcustomerrorではなくコンパイルエラーを引き起こすため、.net customerrorの暗号バグにさらされる可能性があると想定します。

http://blogs.technet.com/b/srd/archive/2010/09/17/understanding-the-asp-net-vulnerability.aspx

Debug = trueのときに留意すべき最大のことは、シンボルがそこにあることです。アプリケーションはdebug = trueでプリコンパイルできますが、これはデプロイメントプロセスの一部です。例えば。ビルドサーバーまたはローカルマシンでビルドし、アセンブリを転送します。 （本番デプロイメントの前に誰もがアプリケーションをプリコンパイルしていますよね？！:)）デバッグでは、特定のランタイム最適化もオフになっています。明らかな攻撃はDoSです。カスタムエラーがオフの場合は、カスタムエラーがオフでシンボルが存在しない場合よりも、コールスタックで詳細情報を確認することもできます。

CustomErrors = offおよびdebug = trueの場合、さらに多くの情報が攻撃者に送信されると思います。

CustomErrors = onまたはcustomErrors = RemoteOnlyと言った方が安全です。これにより、リモートユーザーは常に一般的なASP.NETエラーページを取得します。 [〜＃〜] msdn [〜＃〜] に関する詳細情報

これは、ほとんど完全に言語/フレームワーク/デプロイメント環境に依存しています。

Python/Djangoの場合、DEBUG = Trueがセキュリティの問題である場合が非常に明確です。たとえば、 「SECRET」、「PASSWORD」、「PROFANITIES」、または「SIGNATURE」の構成変数を表示しないことに関する注意-参照 http://docs.djangoproject.com/en/dev/ref/settings/#debug

情報漏えいの観点からは悪いので、繰り返す必要はありません。さらに、デバッグモードでは、リクエストの実行タイムアウトは約5時間なので、タイムアウトすることなくアプリケーションをデバッグできます。 （デフォルトのタイムアウト値はデフォルトで110秒です）そのため、攻撃者がコードを見つけた場合、この攻撃の実行に時間がかかりすぎてサービス拒否につながる可能性があります。