Câu hỏi gốc:
Đối tác liên kết của chúng tôi có trang web dễ bị SQL injection.Làm cách nào để thông báo cho ai đó rằng trang web của họ dễ bị tấn công SQL injection?
Chúng tôi nhận thấy điều này một cách tình cờ (lỗi chính tả trong một URL đã kích hoạt một trang lỗi rất nhiều thông tin).
Bây giờ chúng tôi không biết đối tác liên kết này rất tốt. Chúng tôi bắt đầu kinh doanh với họ chỉ một tuần trước. Bản thân họ có rất ít kỹ năng kỹ thuật; trang web của họ được phát triển cho họ bởi một công ty thứ ba 'trang web'.
Bây giờ rõ ràng là chúng ta nên cảnh báo họ về vấn đề này. Nhưng chúng tôi có một chút lo lắng rằng nếu chúng tôi thông báo cho họ về vấn đề họ sợ hãi và không tin tưởng chúng tôi nữa (quay người đưa tin để làm cho vấn đề biến mất).
Bạn đã từng ở trong tình huống này chưa? bạn đã làm gì?
Một điều nữa là:
Bởi vì công ty phát triển website không xuất hiện để làm đầu vào xác nhận/vệ sinh ở tất cả, chúng tôi không có nhiều niềm tin vào công ty này. Trong khi đó không phải là mối quan tâm của chúng tôi, chúng tôi cảm thấy rằng chúng tôi nên cảnh báo đối tác liên kết của chúng tôi về khả năng thiếu an ninh và chất lượng trong phần còn lại của hệ thống của họ. Điều này sẽ khiến chúng tôi phải đối mặt với nhà phát triển của họ, và chúng tôi không muốn tham gia vào họ với tình huống của chúng tôi.
Chúng tôi có nên thông báo cho họ về các mối quan tâm bổ sung của chúng tôi không? hoặc bạn có lời khuyên để cho nó được?
Cập nhật:
Vì vậy, làm thế nào điều đi đâu?
Chúng tôi đã thông báo cho họ về sự cố hiện tại, bao gồm thông tin cơ bản, báo cáo lỗi chi tiết và cố giải thích bằng ngôn ngữ đơn giản của con người về vấn đề và lý do nghiêm trọng.
Họ cảm ơn chúng tôi, đã chuyển thông tin cho nhà phát triển trang web của họ, những người đã sửa nó.
Chúng tôi không hoàn toàn chắc chắn về chất lượng của bản sửa lỗi, nhưng không có gì chúng tôi có thể làm về điều đó và nó không phải là trách nhiệm của chúng tôi. (Mặc dù nó cảm thấy như trách nhiệm của chúng tôi, thậm chí nhiều hơn như vậy kể từ khi chúng tôi báo cáo nó).
Tuy nhiên, mối quan hệ đã thay đổi. Họ ít cởi mở hơn và có nhiều phản hồi hơn trước đây. Chúng tôi hy vọng rằng điều này sẽ thay đổi tốt hơn trong tương lai, nhưng chắc chắn cảm thấy như báo cáo sự cố đã làm hỏng sự tin tưởng trong mối quan hệ này.
Vì vậy, nếu bạn từng thấy mình ở cùng một vị trí, hãy cẩn thận, dành thời gian của bạn để giải thích vấn đề và chuẩn bị cho một phản ứng ít hơn tối ưu.
Vâng, đó thực sự chỉ là câu hỏi SO hợp lệ nếu bạn hỏi về cách viết chương trình để quyết định có nên cho họ biết hay không. – EBGreen
SELECT * FROM 'ethics' WHERE' community_security_obligation'> 'conflict_avoidance_convenience' – chaos
Bạn có thể muốn hỏi điều này tại một trong các trang web được liệt kê ở đây: http://stackoverflow.com/questions/321618/where-can-i-ask- câu hỏi-đó-arent-lập trình-câu hỏi. Hoặc, tại Teh-Tips.com, họ thậm chí còn có diễn đàn đạo đức CNTT. – EBGreen