Quindi ho ricevuto questa dll da UnionPay per un progetto ecom con la Cina e mi è stato chiesto di recensire. Dopo aver lanciato questo in ILSpy, non ho potuto fare a meno di notare il seguente metodo:Esiste un motivo valido per ignorare i certificati SSL null/non validi (quando si tratta dell'elaborazione dei pagamenti)?
private static bool RemoteCertificateCallback(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
return true;
}
Ora, se ho capito bene, lo scopo di un tale richiamo è quello di consentire per i certificati SSL non validi o nulli - Ho ho aggiunto un supporto simile per il test dell'unità.
(Questo genere di cose mi rende molto sospettoso di intervento del governo CHR consentendo il monitoraggio intenzionale man-in-the-middle delle transazioni.)
C'è qualche ragione legittima per un processore di pagamento per sostenere null/non valida certs?
Come hai detto, è utile per il debug. Se si aspettano che tu lo esegua in produzione, sbarazzati di loro. – SLaks