Здравствуйте, Господа,
Столкнулся с такой ситуацией. Обнаружил при работе с системой, что она при ошибке соединение с БД выдает в тексте ошибки сервер и название БД. "При подключении по пути 'Data Source=A;Catalog=B;' произошла ошибка:". Это выдается пользователю на веб. Система работает в интраненте. По сути это строка соединения.

Написал баг, чтобы убрали параметры строки соединение. Сформулировал, что пользователю это не надо показывать и что это потенциальная дыра в безопасности. Такую инфу писать только в системный лог на сервере.

Но ответственный за систему, говорит, что это нормально. Что если это не соответствует стандартам, то каким именно официальным стандартам. Надо обосновать.

Кто-нибудь может сказать как его убедить? На какие стандарты можно сослаться? Или может так и надо?

Petro123a_voronin,
К сожалению, это чисто корпоративные стандарты и правила.


А если этот будет поставляться на госпредприятие, где определённый набор данных считается конфиденциальным?