Оригинальный вопрос:
У партнера-партнера есть сайт, который уязвим для SQL-инъекций.
Мы заметили это случайно (опечатка в URL-адресе вызвала чрезвычайно информативную страницу ошибок).
Теперь мы не очень хорошо знаем этого партнера. Мы начали заниматься с ними только неделю назад. У них самих очень мало технических навыков; их веб-сайт разработан для них третьей компанией, которая занимается веб-сайтами.
Теперь очевидно, что мы должны предупредить их о проблеме. Но мы немного обеспокоены тем, что, если мы сообщим им о проблеме, они испугаются и больше не доверяют нам (стреляйте в посланника, чтобы проблема исчезла).
Есть ли у вас когда-либо в этой ситуации? что ты сделал?
Еще одна вещь:
Поскольку компания, которая разработала веб-сайт, по-видимому, не делает вводной проверки/дезинфекции вообще, у нас нет большой уверенности в этой компании. Хотя это не наша проблема, мы чувствуем, что мы должны предупредить нашего партнера-партнера о потенциальной нехватке безопасности и качества в остальной части их системы. Это поставило бы нас в ловушку со своим разработчиком, и мы не хотим вмешиваться в ситуацию против нас.
Должны ли мы уведомить их о наших дополнительных проблемах? или вы советуете, чтобы это было?
Update:
Итак, как дела обстояли?
Мы уведомили их о существующей проблеме, включили справочную информацию, подробный отчет об ошибке и попытались объяснить на простом человеческом языке, в чем проблема и почему это серьезно.
Они поблагодарили нас, передали информацию разработчику своего сайта, который с тех пор исправил ее.
Мы не совсем уверены в качестве исправления, но мы ничего не можем с этим поделать, и это не наша ответственность. (Хотя он чувствует себя как наша ответственность, тем более, что мы сообщили об этом).
Однако отношения изменились. Они менее открыты, и ответы гораздо более сдержанны, чем раньше. Мы надеемся, что это изменится к лучшему в будущем, но он уверен, что сообщение о проблеме повредило доверие к этим отношениям.
Итак, если вы когда-нибудь окажетесь в том же положении, будьте осторожны, не спешите объяснять проблему и будьте готовы к менее оптимальному ответу.