DaS*_*eti 5 ssl ssl-certificate e-commerce payment-processing
所以我从银联获得了这个与中国的电子商务项目的dll,并被要求审查.把它扔进ILSpy后,我忍不住注意到以下方法:
private static bool RemoteCertificateCallback(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
return true;
}
现在,据我所知,这种回调的目的是允许无效或无效的SSL证书 - 我自己也为单元测试添加了类似的支持.
(这种事情让我对CHR政府的干预非常怀疑,允许对交易进行有意的中间人监控.)
支付处理器是否有合理的理由支持空/无效证书?
支付处理商支持空/无效证书是否有任何正当理由?
没有任何。你正在一个黑暗的房间里与……任何人进行秘密皈依。您也可以使用纯文本。请参阅RFC 2246中有关未经身份验证的 SSL 的注释。我完全同意@SLaks。
| 归档时间: |
|
| 查看次数: |
94 次 |
| 最近记录: |