מה הדרך נכונה בניהול סיכונים עם אבטחת מידע לאתר תרומות?
-
יש לי מערכת לניהול תרומות, עם אפשרות לתרומה עצמאית דרך אתר לגולשי קצה, ביצעתי את זה כך: פרטי התורם נשלחים לשרת, ובשרת מחפש על פי זיהוי מספר פלאפון אם נמצא כרטיס תורם עם המספר הזה במדוייק אז הפרטים שהגיעו מעדכנים את הפרטים של הכרטיס הקיים במידה ולא נוצר כרטיס תורם חדש.
היות שאני נמנע לע"ע להכניס קאפצ'ה והרשמה.. זה בסך הכל תרומה, והסבלנות קצרה, אני חושש (בהשראת המתקפות האחרונות גם במערכות של המגזר היחסית פנימיות ביחס לעולם הגדול..)שמישהו ימחק לי כך את כל מאגר הנתונים של התורמים, פשוט יריץ לולאה עם כל אפשרויות הטלפון ומידע מפוברק.
מה העיצה הנכונה?
אשמח לתובנה. להגביל IP? -
גם עם קאפצה אתה נותן אפשרות לכל אחד לעדכן פרטים של כל אחד אחר, זה נאיבי מאוד.
אם התורם יכול רק לעדכן, אתה יכול להכניס את השינויים לתור ובן אדם יאשר את השינויים, כשהוא רואה מה השינויים ומה שעת השינוי + כתובת האייפי וכדומה.
אתה יכול לדלות מהתורם עוד כמה פרטים, למשל לשאול אותו פרט שאמור להיות ידוע לו, או סתם שאלה מה פרשת השבוע אחרי פרשת X ולתקוע כל פעם שם של פרשה וכדומה.
