Un commento pubblicato su una delle mie domande l'altro giorno ha sollevato una domanda nella mia testa. So che molti amministratori di siti apprezzano gli utenti che segnalano bug e falle di sicurezza e, come utente, apprezzo le persone che fanno questo. Cerco spesso di trovarli e segnalarli in siti e app a cui uso frequentemente o dati sensibili alla mano. Sono ragionevolmente sicuro che questi siti andrebbero bene con me testare cose davvero innocue come XSS riflesse e simili, ma dov'è la linea? Quanto è etico testare senza permesso? È etico testare il sito per le vulnerabilità di SQL injection se non estraggo effettivamente i dati? C'è una differenza tra ciò che la legge consente e quali amministratori del sito ti ringrazieranno? Qual è il modo migliore per chiedere a un amministratore del sito quale è la loro opinione su questo senza spaventarli?