原始问题:
我们的联盟合作伙伴有一个易受SQL注入攻击的网站.
我们意外地注意到了这一点(URL中的拼写错误引发了一个非常有用的错误页面).
现在我们不太了解这个联盟合作伙伴.一周前我们开始与他们做生意.他们自己的技术技能很少; 他们的网站是由第三家"做网站"的公司为他们开发的.
现在很明显我们应该警告他们这个问题.但我们有点担心,如果我们告诉他们这个问题,他们会害怕,不再相信我们(拍摄信使让问题消失).
你有没有遇到过这种情况?你做了什么?
另外一点是:
因为开发网站的公司似乎根本没有进行输入验证/消毒,我们对这家公司没有太大的信心.虽然这不是我们关心的问题,但我们认为我们应该警告我们的联盟合作伙伴,因为他们的系统其他部分可能缺乏安全性和质量.这将使我们与他们的开发人员正面交锋,我们不想让他们参与我们的情况.
我们是否应该通知他们我们的其他问题?或者你建议让它成为现实?
更新:
那么,怎么回事?
我们向他们通报了现有问题,包括背景信息,详细的错误报告,并试图用简单的人类语言解释问题是什么以及为什么它是严重的.
他们感谢我们,将这些信息传递给他们的网站开发人员,后者已修复它.
我们不太确定修复的质量,但我们无能为力,这不是我们的责任.(虽然它确实感觉到我们的责任,但自从我们报告以来更是如此).
然而,这种关系发生了变化.它们不那么开放,之前有更多的保留.我们希望将来会有更好的改变,但是确实报告这个问题会损害这种关系中的信任.
因此,如果您发现自己处于相同的位置,请小心,花些时间来解释问题,并为不太理想的响应做好准备.
你告诉他们.期.
他们会射杀信使吗?也许.但如果他们这样做,你真的想和他们做生意吗?
更实际的是,如果他们的网站出现问题,由于这种攻击而导致他们花了很多钱,如果它出现了你知道它并且没有做任何事情你可能会有一些责任问题.
这不仅是正确的事情(告诉他们),而且你有责任这样做.
提出来.如果它破坏了这种关系,那么现在比你的公司有更密切的关系更好,所以当他们被下挫到下周日时,它也会伤害你.
在道德上,我会说你不能只是让它成为现实.您的选择应该是亲自通知他们,或匿名通知他们.我一直发送电子邮件,从安全漏洞到破损的链接或图像.