[MUZYKA] 

DAVID J. MALAN: W porządku. Więc to jest CS50 i to jest koniec tygodnia 10. Więc może niektórzy z was nie widziałem tego już, ale są przekazywane późno jest artykuł, że myślałem, że czytam fragment, a następnie pokazać trzy minuty film, który maluje sam obraz. To była naprawdę wzruszająca historia, I myślałem, z tym skrzyżowaniu Prawdziwy świat z naprawdę przekonujące korzysta z technologii. 

Tak więc artykuł został zatytułowany "boy oversleeps na pociąg, korzysta z Google Maps znaleźć rodzinę 25 lat później ". I Pierwsze kilka paragrafów, "Kiedy Saroo wieku pięciu lat wyjechał ze starszym bratem wyżebrać dla zmiany w pociągu pasażerskiego w mieście, około dwóch godzin z małego miasteczka. Saroo się zmęczony i wskoczyliśmy w pobliżu pociągu, w którym myślał, jego brat, potem zasnął. Kiedy się obudził był w Kalkucie, prawie 900 mil. Saroo próbował znaleźć drogę z powrotem, ale nie wiedział, nazwa jego rodzinnego miasta. A jako mały chłopiec w Zdecydowana analfabeta miasto pełne zapomnianych dzieci, jakie miał praktycznie nie ma szans na uzyskanie domu. 

Był dzieckiem ulicy na chwilę, aż lokalna agencja uzależniony przyjęcie mu się z Australian dwoje który przyniósł mu Mieszkam w Hobart. Saroo przeniósł się tam, dowiedział Angielski, a dorastał. Ale nigdy nie przestali szukać jego rodzina i jego rodzinne miasto. 

Kilkadziesiąt lat później odkrył Google Ziemia i następnie tory kolejowe. I daje sobie przepisaną promień opiera się na jak długo myślał, że śpi i jak szybko pomyślał pociąg się dzieje, wiedział, że dorastał w ciepłym klimacie, wiedział, że mówił Hindi jako dziecko, a on został poinformowany że wyglądał, jakby był z East India. 

Wreszcie, po latach czyszczenie Zdjęcia satelitarne, on uznawane kilka zabytków. I po czacie z administratorem z miastem w pobliżu tych Strona Facebook, zdał sobie sprawę, że znalazł dom. " 

Więc o czym jest film mówi że opowieść z jego perspektywy. 

[PLAYBACK VIDEO] 

-To było 26 lat temu, a ja tylko o kolei pięć. Dotarliśmy do dworca kolejowego i wsiedliśmy do pociągu razem. Mój brat po prostu powiedział Zostanę tutaj i wrócę. A ja myślałem, dobrze wiesz, że równie dobrze może po prostu iść spać i wtedy on po prostu mnie obudzić. A kiedy budzę się następnego dnia, Cały wózek był pusty na uciekiniera Pociąg, pociąg biorąc upiór ja nie wiem gdzie. 

I został przyjęty z Australii do australijskiej rodziny. I Mama urządzone mój pokój z mapa Indie, które ona umieścić obok mojego łóżka. Obudziłem się rano widząc, że mapy, i tym samym, to jakby trzymane memories alive. 

Ludzie mówili, że próbujesz znaleźć igłę w stogu siana. Saroo, nigdy nie znajdziesz go. Musiałbym miga z miejsc, które Chodziłem, błyski z mojej rodziny twarzy. Był obraz matka siedzi w dół z nogami skrzyżowanymi tylko oglądanie jej krzyk. Życie jest tak ciężko. To był mój skarb. 

I szukałem w Google Map i realizowany jest program Google Earth, jak również. W świecie, gdzie można powiększyć do I zaczął mieć wszystkie te myśli i jakie możliwości, że może to dla mnie zrobić. Powiedziałem sobie, no wiesz, masz wszystkie fotograficzne wspomnienia i zabytków, gdzie jesteś od i wiesz co miasto wygląda. To może być wniosek, że można użyć, aby znaleźć drogę powrotną. 

Pomyślałem, cóż, będę postawić kropkę na Dworzec Kalkuta w promieniu linii, które powinny być wyszukiwanie wokół tego obszaru. Natknąłem tych torach kolejowych. I zacząłem po nim i doszedłem do dworzec kolejowy, który odzwierciedla sam obraz, który był w moich wspomnieniach. 

Wszystko dopasowane. Pomyślałem, yep. Wiem, gdzie idę. Ja tylko pozwolę mapy że mieć w głowie, aby doprowadzić mnie i weź mnie z powrotem do mojego rodzinnego miasta. 

Doszedłem do progu domu że urodził się i chodził po około piętnastu metrów rogiem. Nie było trzy panie stały poza obok siebie. A środkowy podszedł. A ja myślałem, to jest twoja matka. Podeszła do przodu, ona przytuliła mnie, a my były tam przez około pięć minut. 

Złapała mnie za rękę i zabrała mnie do dom, ale przez telefon, a ona zadzwoniła moja siostra i mój brat do powiedzenia , że brat twój ma tylko wszystkie Nagle pojawił się jak duch. 

A potem rodzina połączyć się ponownie. Wszystko jest dobrze. Pomagam mamie się. Ona nie musi być niewolnictwo dalej. Ona może doprowadzić resztę jej życie w pokoju. 

To było igły w stogu siana, ale igła było. Wszystko, co tam jest. Wszystko, co mamy w świecie jest dotknięcia. Ale musisz mieć wolę i wola chce go. 

[END PLAYBACK VIDEO] 

Tak naprawdę słodka historia. I faktycznie przypomina mi dość temat, który został coraz sporo uwagi późno w Crimson, więcej w kraju w ogóle. Zwłaszcza, MOOCs biorą etap późno. MOOCs będące te ogromne i otwarte kursy online, których CS50 jest jeden. 

A ludzie mówią o tym, jak na Przykładowo, nie są naprawdę humanistycznych nadrabiają zaległości lub nie są już tak w modzie, jak były kiedyś. I chciałbym zachęcić was, wiele jak Jonathan zrobił w poniedziałek, aby myśleć o, jak wyjść 50 i wiemy, już około 50% z was nie będzie kontynuować stosowanie innego komputera Kurs nauki, i to jest całkowicie grzywny i oczekiwaniami. Ponieważ jednym z nadrzędnych celów z klasą, jak to jest naprawdę upoważnić chłopaki z zaledwie zrozumienie, jak wszystkie z tych rzeczy działa i jak ten świat prac technologicznych. 

Tak, że kiedy jesteś z powrotem w swoim własnym światy, czy jest to pre-med lub czy to humanistycznych lub nauki społeczne lub inne pole całkowicie, że chłopaki przynoszą niektóre techniczne doświadczonych do stołu i pomoc w podejmowaniu trafnych decyzji, gdy chodzi o wykorzystanie i Wprowadzenie technologii do swojego świata. 

Na przykład I przypomniał późno też z dwóch licencjackich Klasy I trwało dwa lata temu, które były takie proste zastosowania technologii ale nigdy tak przekonujące. Pierwsze noce z prof Tom Kelly jeśli już podjęte klasę. To klasa muzyki klasycznej na etap ten tu, gdzie się uczyć Małe co nieco o muzyce. To faktycznie pierwsze noce, CS50 pożyczył pomysł dla tych utworów mniej wygodne w między i bardziej komfortowe. 

W swoim czasie mieli różne utwory dla dzieci z absolutnie bez muzyki doświadczenia jak ja, a następnie dzieci, które została wykonywania ponieważ były pięć lat. I klasa, na przykład, po prostu musiałem Strona jak większość innych, ale to to strona internetowa, która pozwala ci odkrywania muzyki na nim i odtwarzać klipy muzyczne z klasy, z internetu, i po prostu korzystać z technologii w bardzo bezszwowe sposób. 

Kolejne lata później, I klasa zbadane, zasadniczo, w grad szkoły, Anthro 1010, Wprowadzenie do Archeologii tutaj. To było niesamowite. I jeden z najbardziej przekonujące jeszcze bardzo oczywiste, z perspektywy czasu, korzysta z oprogramowanie było, że profesorowie że klasa używane Google Earth. Siedzieliśmy po drugiej stronie ulicy w jakiejś sali wykładowej. I nie może podróżować, na przykład, na Bliskim Wschodzie, na wykopaliskach, że jeden z profesorów właśnie wrócił z powrotem, , ale możemy to zrobić praktycznie przez latają w Google Earth patrząc na widok z lotu ptaka na kopać miejsce Właśnie wrócił z tydzień temu. 

Więc chciałbym zachęcić was, zwłaszcza w naukach humanistycznych, aby przejść kopii dla tych służb po to klasa przynosząc swoje ostateczne projekty z tobą lub pomysłów własnych i zobacz tylko to, co można zrobić, aby natchnąć swoją własne pola w naukach humanistycznych lub poza z odrobiną tego rodzaju co już zostało tutaj w CS50. 

Więc z tym obraz namalowany, że my próbują rozwiązać dwie rzeczy dzisiaj. One, staram się dać ci poczucie gdzie można iść po 50. A w szczególności, jeśli zdecydujesz się na rozwiązania internetową projektu jak bardzo często, w jaki sposób można go o startu wszystkie CS50-tych kółka i chodzić tam na własnych, a nie opierania się na PDF lub opis z Pset? Nie ma polegać na CS50 Urządzenie już. Ale naprawdę może ciągnąć się o swoich siłach. 

Z powiedział, że C-oparte finału projekty są mile widziane. Rzeczy, które korzystają z podstawki do Przenośna biblioteka w Grafika jest mile widziane. Wiemy tylko, że statystycznie dużo ludzi odgryźć projektów w PHP i Python i Ruby i MySQL i inne środowisk, więc my będziemy stronniczość niektórych nasze uwagi wobec tego. 

Ale szybko z powrotem wygląd. Więc wzięliśmy za pewnik w pset7 na Fakt, że $ _SESSION istniał. To był bardzo globalny, globalny, asocjacyjna. A co to pozwalają robić? Funkcjonalnie, co jest wyposażone daje nam? Tak? Aby śledzić użytkownika identyfikator. I dlaczego jest to przydatne? Aby być w stanie przechowywania wewnątrz tego super globalne JHarvard lub [? Scroobs?] lub Malan w ID użytkownika, gdy lub odwiedza witrynę. 

Dokładnie. Więc nie musisz się zalogować w kółko. Byłoby naprawdę lame world wide web jeśli przy każdym kliknięciu łącza na miejscu, takich jak Facebook lub za każdym razem kliknięciu na wiadomości e-mail w Gmailu Ciebie musiał uwierzytelnienie się okazać, że to jeszcze można i nie twój współlokator kto mógł podszedł do swojego komputer podczas twojej nieobecności. 

Więc używamy sesji tylko pamiętam, kim jesteś. A jak to jest realizowane pod maską? Jak strona internetowa, która korzysta, Protokół przeglądarek internetowych i serwerów mówić, w jaki sposób HTTP, który jest bezpaństwowcem protokół, powiedzmy. 

I bezpaństwowców to znaczy, kiedy podłączyć do strony, pobierz niektóre HTMLs niektóre JavaScript, niektóre CSS, twój ikona przestaje przeglądarce przędzenia. Nie masz stałego połączenia do serwera zazwyczaj. To wszystko. Nie ma utrzymać stan stale. Więc jak to jest realizowane w taki SESSION sposób, że za każdym razem zrobić, odwiedź Nowa strona, strona pamięta kim jesteś? Co jest podstawowym zastosowaniem szczegół? Shout it out. To jedno słowo. 

Cookies. Dobrze. Więc ciasteczka. Cóż, jak pliki cookie są wykorzystywane? Będziemy pamiętać, że plik cookie jest na ogół tylko fragment informacji. I to często duży random ilość, ale nie zawsze. A cookie jest obsadzony na twardym jazdy samochodem lub w pamięci komputera tak że za każdym razem ponownie, że same strona internetowa, przeglądarka przypomina serwer, jestem łatwy 1234567. Jestem użytkownika 1234567. 

I tak długo, jak serwer został zapamiętany że użytkownik 1234567 jest JHarvard, strona po prostu zakładamy że jesteś, który mówisz, że jesteś. I przypominają, że prezentujemy te ciasteczka jakby w formie wirtualne stoisko hand. To wysyłane w nagłówkach HTTP tylko przypomnij serwera, że ​​jesteś kim myśli, że jesteś. 

Oczywiście, nie jest zagrożeniem. Jakie zagrożenie to ma otworzyć nas do czy my w zasadzie za pomocą rodzaju klubu lub mechanizm park rozrywki za pamięć, kim jesteśmy? 

Jeśli skopiujesz czyjeś ciasteczko i porwać ich sesji, że tak powiem, ci może udawać kogoś innego i strona najprawdopodobniej jest po prostu będzie wierzę. Więc wracamy do tego. Ponieważ inny motyw na dziś poza empowerment rozmawia również o świecie bardzo przerażające, że żyjemy w i jak wiele z tego, co robisz na web, jak wiele z tego, co robisz, nawet na telefony komórkowe dzisiaj może być śledzone naprawdę każdy, między ty i punkt B. 

A Ajax, recall. Patrzyliśmy tylko na chwilę na to, chociaż już przy jej pośrednio w pset8 ponieważ używasz Google Maps, a ponieważ jesteś za pomocą Google Earth. Google Maps i Google Earth nie pobierz cały świat do swoich pulpitu, oczywiście, chwili załadowania pset8. To tylko pobiera plac świata lub większy kwadrat ziemi. A potem za każdym razem rodzaj kierowania z zakresu można zauważyć - zwłaszcza jeśli wolnego połączenia - można może zobaczyć jakiś szary chwilę lub nieco rozmytych obrazów, jak pliki do pobrania komputerowe więcej takich płytek, więcej takie obrazowanie z światowym lub ziemia. 

A Ajax jest na ogół technika przez które strony są to robić. Gdy trzeba więcej mapie, twój przeglądarka będzie korzystać Ajax, który jest nie sam język lub technologii, to tylko technika. To wykorzystanie JavaScript iść po więcej informacji z serwera, który pozwala przeglądarce aby go dostać, co jest do wschód lub co jest na zachodzie co jest obecnie inaczej wykazanie w tej mapie. Więc to jest temat, który wielu z was napotka bezpośrednio lub pośrednio przez ostatecznych projektów, jeśli zdecydować się na coś, co jest podobnie dynamiczny To ciągnięcie danych z jakiejś trzeciej stronie. 

Więc mamy naprawdę ekscytujące środę przed siebie. Quiz jeden, informacje, dla których jest on CS50.net już. Wiesz, że nie będziesz sesja recenzja w najbliższy poniedziałek o godzinie 05:30. Data i czas są już wysłane na CS50.net w które O kartce. I daj nam znać ciebie Wszelkie pytania. Pset8 tymczasem już jest w Twoich rękach. 

I niech mi tylko rozwiązać jedną FAQ uratować ludzi, trochę stresu. W przeważającej części dużo gadać widzimy w godzinach pracy i dużo robaki widzimy zgłoszonych na omówienia są rzeczywiście błędów w kodzie studenta. Ale kiedy już napotkał coś jak Ziemia Wtyczka Google upaść lub nawet nie pracować i jesteś pewni, to nie ty, to nie jest [? chamad?] problem, że nie jest błąd można wprowadzić do Kod dystrybucji. 

Uświadom sobie, po prostu FYI - to jest coś w rodzaju planu Z - że ostatni raz użyliśmy tego problemu ustawić i wpadliśmy w podobny kwestie, jest linia kodu w service.js, że w istocie jest to, , który mówi, skręcić budynków dalej. A oni obejść ostatnim czasie zrobił to na znowu przypadki rogu, gdzie studentów po prostu nie mógł się cholernie co do pracy to zmienić true na false w tym jednej linii kodu. A znajdziesz go, jeśli szukać przez service.js. 

Nie polecam tego, ponieważ będzie stworzenie najbardziej surowym krajobrazie z Cambridge, Massachusetts. To dosłownie spłaszczyć świat tak, że wszystko, co widzę, to nauka towarzysze i asystenci kursu na horyzont, a nie budynki. Ale sobie sprawę, bez względu na przyczynę Google Earth wtyczki nadal wydaje się być buggy lat później, więc to może być Twój fail zapisać. Tak więc, zamiast uciekać się do łez, resort włączeniem budynków off, jeśli wiesz, to plug-in to nie współpracuje na komputerze Mac lub PC. Ale to znowu ostateczności, jeśli na pewno to nie jest błąd. 

Więc hackathon. Kilka zapowiedziach tylko aby dostać się podekscytowany. Mieliśmy sporo potwierdzenia udziału. I tak malować obraz tego, co czeka, myślałem, że ci nieliczni sekundy przypomnieć tego obrazowania od zeszłego roku. 

[MUZYKA] 

DAVID J. MALAN: Poczekaj, oh. Mamy nawet nasze dosłowne CS50 transfer. 

[MUZYKA] 

DAVID J. MALAN: Więc to, co czeka ty w zakresie hackathon. A to będzie okazja, aby być jasne, a nie na rozpoczęcie finału projekty, ale do dalszej pracy nad Twoje ostateczne projekty obok koledzy i personel i wiele innych potraw. I znowu, jeśli nie śpisz w 05:00 weźmiemy w dół drogi w IHOP. 

Fair CS50, w międzyczasie, jest kulminacyjnym dla całej klasy, w których przyniesiesz swoje laptopy i przyjaciół, może nawet rodziny do pokoju na terenie kampusu w dół ulicy do wykazania swoich projektów na laptopach, na wysokich stołach jak to z dużą ilością jedzenia i przyjaciół i muzyka w tle, a także nasi przyjaciele z branży. Firmy, takie jak Facebook i Microsoft i Google i Amazon i bukiety inni tak, że jeśli interesuje tylko słysząc o świecie rzeczywistym lub rozmawiając z ludzi o prawdziwym świecie staż lub pełne możliwości czasowe, wiem, że niektórzy z naszych znajomych z przemysłu będzie. I kilka zdjęć możemy farby są następujące. 

[MUZYKA] 

DAVID J. MALAN: W porządku. Tak, że to jest CS50 fair. Więc teraz przystąpić do opowiedzenia historii że naprawdę mam nadzieję, że będzie upoważniają na takie rzeczy jak ostatecznych projektów. Tak więc jednym z niewielu małych rzeczy do materiału siewnego swoim umysł, albo za końcowe projekty czy tylko ogólnie na projekty, które możesz zdecydować się na zajęcia po Oczywiście, to wszystko udokumentowane na manual.cs50.net gdzie CS50 obsługi, gdzie mamy wiele techniki udokumentowane. 

I to jest właśnie oznaczenie skrótowe mówiąc, że nie istnieje w świat rzeczy nazywane SMS na e-mail bramy, która jest fantazyjny sposób mówiąc, nie ma serwerów w świecie że wie, jak do konwersji wiadomości e-mail do wiadomości tekstowych. Więc jeśli do ostatniego projektu, który ma stworzyć jakiś telefon tematyczne usługa, która pozwala na poinformowanie znajomych lub użytkowników do wydarzeń na terenie kampusu lub co jest serwowane w sali D w nocy lub takie alert funkcja, wiem, że to jest proste, jak wysłanie e jak phpmailer którym mogły stosować do pset7 lub widzieliśmy krótko, tydzień temu, aby adresy, takie jak ta. 

I rzeczywiście można tekst tego zakładając Twój przyjaciel ma nieograniczone SMS-ów planu i nie chcesz ich ładowania 0,10 dolarów. Ale jeśli wysłać e-mail do znajomego którzy wiesz mieć Verizon lub AT & T za pomocą Gmaila i po prostu wysłanie go do ich numer telefonu, bez względu na sub domeny istnieje, uświadamia, wyśle ​​wiadomość tekstową. 

Ale to jest jedna z tych rzeczy uważać. Jeśli troll przez zeszłorocznego CS50 filmy Myślę, że to, przerażające, straszne, straszne błąd napisałem w kodzie skończyło się na wysłanie o 20.000 tekst żyć do naszej wiadomości uczniów w klasie. I tylko dlatego, że ktoś zauważył, że były one coraz wiele tekstu wiadomości ze mną nie mam środków, by szybko trafić sterowania C i zatrzymać ten proces. Kontrola C, pamiętacie, jest twoim przyjacielem w przypadkach, o nieskończonej pętli. Więc uważaj moc właśnie podano do Ciebie, a nieodpowiedzialnie, najbardziej może, na podstawie własnego doświadczenia. Ale to jest w internecie i ma byłem tam przez jakiś czas. 

Dobrze. Więc textmarks.com. Więc to jest strona internetowa. I jest kiście innych tam jak dobrze, że mamy rzeczywiście używane jako klasa lat, aby móc do odbierania wiadomości tekstowych. Niestety, wysyłania wiadomości tekstowych jest proste jak wysyłanie wiadomości e-mail, takich jak to. Odbiór jest trochę trudniej, zwłaszcza jeśli chcesz mieć jeden z te sexy krótkich kodów, które tylko pięć lub sześć cyfr. 

Tak na przykład, przez lata byłeś możliwość wysyłania wiadomości tekstowych - i Można spróbować, jak również - do 41.411. I to jest numer telefonu do ten konkretny startup. A jeśli wysłać wiadomość do 41411 - Ja po prostu piszę to tutaj, tak 41411 - , a następnie wysłać do nich wiadomość jak SBOY dla Chłopca transfer. A następnie wpisz w coś jak mather quad. Więc wysłać tę wiadomość tekstową do tego numeru telefonu. W ciągu kilku sekund powinno wrócić Odpowiedź z CS50 Shuttle Serwis Boy, który jest transfer Oprogramowanie do planowania, że ​​mieliśmy się istnieje w sieci od jakiegoś czasu. I odpowie na można za pomocą wiadomości tekstowych. 

Bo to, co zrobiliśmy w klasie, jak programista, jest napisanie oprogramowania, skonfigurowany darmowe konto z tekstem Znaki nasłuchiwać wiadomości tekstowe wysyłane do SBOY w tej liczbie. A to, co robią jest do przodu tych, text wiadomości na naszej stronie internetowej na bazie PHP jako Parametry HTTP mówiąc tutaj. Użytkownik z tym numerem telefonu Otrzymujesz tę wiadomość tekstową. Czy się z nim co chcesz. 

Więc napisał program, który po odbieranie ciąg jak SBOY Mather quad, możemy analizować je. Mamy dowiedzieć się, gdzie obowiązuje są między słowami. A my jako klasa zdecydować Jak odpowiedzieć. A jeśli spróbujesz, że teraz, na przykład, powinieneś zobaczyć, poprzez odpowiedzi w Kilka sekund, kilka następnych transfer będzie od Mather do quad jeśli istnieje. I nie ma innych przystanków. Możesz wpisać w Boylston lub inne takie zatrzymuje się na terenie kampusu, a powinien uznają te słowa. 

Więc parse.com. Jest to kolejny serwis, który byliśmy wskazując na pewne studentów na Ostateczne projekty, które jest wspaniałe w to, że jest bezpłatny dla rozsądnym użytkowania. A jeśli pójdę do parse.com zobaczysz że jest to alternatywa rzeczywiście o coś własne bazy danych MySQL. I szczerze mówiąc, to tylko rodzaj hipnotyzujący. To jest to, co znajduje się wewnątrz Chmura, nawet w pochmurny dzień. 

Więc parse.com pozwala zrobić kilka ciekawych rzeczy. I nie ma innych alternatyw do tego tam. Na przykład, można z nich korzystać jako powrót bazy końcowego. Więc nie musisz mieć firma hostingowa. Nie musisz mieć bazy danych MySQL. Zamiast tego można użyć ich koniec pleców. 

Jeśli robisz projekt mobilnej Android lub iOS czy jak, wiem, że istnieje takie rzeczy jak wypychania usług więc można wcisnąć powiadomienia do znajomych lub swoich użytkowników ekrany główne. A potem kilka innych funkcje, jak również. 

Więc jeśli jesteś zainteresowany, sprawdź to strony internetowe i stron internetowych, takich jak nimi po prostu zobaczyć, jak wiele innych narodów " Ramiona można stać na do naprawdę fajne oprogramowanie własne. 

Teraz w zakresie uwierzytelniania, FAQ, to jak to się ma zagwarantować że użytkownicy są ludzie na kampusie, Studentów Harvardu lub wydziału lub pracowników? Więc CS50 ma własną autoryzację Usługa o nazwie CS50 ID. Idź do tego adresu URL i można zawęzić Strona internetowa dla każdego z Harvardu ID, na przykład. Więc wiemy, że możemy sobie z tym poradzić. Wy nie powinien być w tym biznesie mówić, jak się ID Harvard? Jaki jest twój PIN Harvard? Pozwól, że teraz coś z tym zrobić. Zrobimy wszystko. I co my oddać to czyjeś nazwisko i adres e-mail, ale nie jest niczym czuły. 

Aplikacji na urządzeniu mobilnym, może być się do pracy na urządzeniach mobilnych, ale to nie dość przeznaczone do tego. Więc koniec wydatków nie trywialne Czas zrobić. Więc chciałbym zniechęcić że droga do teraz. To jest tak naprawdę przeznaczony dla aplikacjach internetowych. 

Więc hosting. Więc jeśli nie widać na Kurs jest strona główna - a tu, gdzie zaczniemy opowieść - hosting jest o płacenie za zazwyczaj service, gospodarzem którego właścicielem serwera przez kogoś innego w internecie, który ma Adres IP, a następnie połóż portal o nim. I zwykle daje maila kont i baz danych i inne takie cechy. 

Wiesz, że jeśli nie chcesz, aby rzeczywiście płacić za takie, przejdź do tego adresu URL tam i CS50 faktycznie ma non-profit Konto, które można wykorzystać do faktycznie nie ma http://projekt wewnątrz urządzenia do ostatecznego projektu. Jeśli faktycznie ma to być coś jak, isawyouharvard.com, można kupić tę nazwę domeny - chociaż nie, że zwłaszcza jeden - i następnie można go o umieszczenie go na publiczny serwer web, jak możemy oferować wy przez tutaj. 

I rzeczywiście, jeśli nieznane, jeśli nigdy nie byli w isawyouharvard.com, jeden, tam. Ale dwa, wiem, że to był młody Nazwa przez kobiety Tej Aby Toor Too dwa lat temu, trzy lata temu, który był CS50 absolwenci, którym zdarzyło się dzień lub dwa przed CS50 fair wysłany e-mail do jej listy domu i voila. Dwa dni później przez CS50 targów, miała setki użytkowników na pełzanie na siebie na jej stronie internetowej i mówią, że widzieli, jak ją lub go na terenie kampusu. Więc to jest jedna z ulubionych CS50 jest historie sukcesu CS50 projekt końcowy. 

Więc jak go o umieszczenie na stronie internetowej jak to w internecie? Cóż, jest kilka takich składniki tutaj. Więc jeden, musisz kupić nazwę domeny. Są miejsca w pęczki Świat, z którego można kupić nazwę domeny. I tak na przykład, że jedna zaleca tylko dlatego, że jest popularny i to jest tanie nazywa namecheap.com. Ale możesz iść godaddy.com i dziesiątki innych tam. Możesz przeczytać na opinie. 

Jednak w większości przypadków tak nie jest znaczenia, od którego kupić nazwę domeny. I różnią się ceną i różnią się one przyrostkiem. Przyrostki podobne. Com,. Net, . Org,. Io,. Tv, te w rzeczywistości różnią się ceną. Ale gdybyśmy chcieli zrobić coś jak cats.com możemy przejść do tej strony, kliknij przycisk Szukaj. Przypuszczalnie ten pochodzi. Ale widocznie catsagainst.com jest dostępna. pluscats.com jest dostępny. Lovecats, catscorner, dampcats.net. Wszystko to mam nadzieję, że pseudo generowane losowo. Jeśli chcesz cats.pw, 1500 dolarów tylko, która jest nieco szalony. Więc ktoś naprawdę porwał wszystkie The Cat powiązane nazwy domen tutaj, różnych cenach. 

Tak na marginesie, zobaczmy. Kto ma cats.com? Wiedz, że macie w Państwa dyspozycji dość wyrafinowane komendy teraz. Jak mogę pisać dosłownie kto jest cats.com? I ze względu na sposób Internet jest skonstruowany rzeczywiście można zobaczyć, kto zarejestrował tego. Widocznie ta osoba jest [niesłyszalne] za pomocą usługi proxy. Więc kto jest właścicielem cats.com nie chce świat wiedział, kim są. Więc już zarejestrowane, jeśli przez jakiś przypadkowy serwis prywatności. Ale czasem faktycznie uzyskać rzeczywistych właścicieli. 

A to znaczy, zwłaszcza jeśli jesteś prowadzi jakieś starcie i ty naprawdę chcesz trochę nazwę domeny i jesteś skłonni zapłacić komuś za go, można dowiedzieć się kontakt Informacje o tym, że sposób. 

Ale także interesujące jest to. Pozwól mi przejść do tej części. Tak to jest, że samo wyjście. I to jest po prostu tandetny. Więc najwyraźniej cats.com może być Ciebie za odpowiednią cenę. Ale co ciekawe tutaj jest to, że serwery nazw - jest to całkowita nadużywanie co nazwa Serwer ma być - Twoje imię Serwer ma być thisdomainforsale.com. Jeśli rzeczywiście wybrać coś - niech wybrać coś trochę więcej uzasadniony, jak, kto jest google.com, i przejdź tutaj. Więc tutaj - co się stało? Ciekawe. Za kim jest - trzymajmy go bardziej niski klucz. 

Kto jest mit.edu? OK. Jest to pomocne. Więc to jest to, co miałem nadzieję. Zgodnego z prawem korzystania z usługi DNS. Serwery nazw tutaj wskazać dodaje. Jest to sposób na powiedzenie, MIT, gdy ktoś na świecie, wszędzie tam, gdzie są rodzaje w mit.edu i hity Enter, Twój laptop, czy Mac lub PC, będzie jakoś w końcu dowiedzieć się, że ludzi na świecie, którzy wiedzą, co Adres IP jest dla mit.edu lub którykolwiek z subdomen w mit.edu lub którykolwiek z serwery te tutaj - i faktycznie wygląda infrastruktura MIT jest dość solidne, jak można by oczekiwać. Mają wiele nazw serwerów co jest dobre dla zwolnienia. I rzeczywiście, wydaje się być ogólnie rozprowadzane po całym świecie. Kilka z tych, wydają się być w Stanach Zjednoczonych, para w Azji, jeden w Europie, dwa w innym miejscu. 

Ale chodzi o to, że DNS byliśmy biorąc za pewnik, a ogólnie opisane jako wielki tabeli programu Excel że ma adresy IP i domeny nazwy jest rzeczywiście dość wyrafinowany hierarchiczna usługa tak, że w Świat jest naprawdę skończona liczba serwerów, które w istocie wiedzą, gdzie wszystkich. coms są lub wszystkich na. sieci są, wszystkie . Orgs są, i tak dalej. 

Więc kiedy iść dalej i kupić domenę nazwa od miejsca jak nazwy tani lub Go Daddy lub jakiejkolwiek innej stronie internetowej, jeden z kluczowe kroki, które będziesz musiał zrobić Ci, jeśli to zrobisz, nawet na nasze ostateczne Projekt jest powiedzieć rejestratora od kogo kupujesz domenę Nazwa, która w świecie wie swoje Adresy IP strony, który serwery nazw są. 

Więc jeśli używasz, na przykład CS50-tych hosting konta - tak się mieć to konto przez dreamhost.com która jest popularne Web Hosting Company - to ci powiedzą, że należy kupić Twoja domena i powiedzieć światu, że Wasze domeny na serwer nazw jest ns1.dreamhost.com, ns2.dreamhost.com, i ns3.dreamhost.com. 

Ale to jest to. Zakup nazwę domeny oznacza, dając im własności pieniędzy i coraz of domeny, ale jest to bardziej jak wynajem chociaż. Otrzymasz go przez rok, a potem rachunek Ci recurringly dla reszty Twoje życie, aż zostanie anulowane nazwa domeny. A potem powiedz im, kto serwery nazw są. Ale wtedy skończysz z rejestratorem. I tam będziesz oddziaływać tylko z Twoja firma hostingowa, która w przypadku CS50 będzie się DreamHost. Ale znowu, więcej dokumentacji będzie dostarczone do Ciebie, jeśli zdecydujesz się na że trasa. 

Więc jeśli to zrobić po tych przedmiotów koniec, po prostu guglanie hosting firma zmieni się tysiące opcji. A ja generalnie zachęcam do zapytaj znajomych, którzy mogliby używane Spółka przed jeśli poleca ich i było to dobre doświadczenie. 

Ponieważ jest dużo latać w nocy internetowej firmy hostingowej, jak facet w piwnicy z serwerem że ma adres IP. Ma trochę więcej pamięci RAM i dysk twardy miejsca i po prostu sprzedaje hosting rachunki, chociaż nie ma mowy, że Serwer może obsługiwać setki użytkowników lub tysiące użytkowników. Więc sobie sprawę, otrzymasz za co płacisz. 

Na jakiś czas na mojego osobistego domu strona - i to było całkowicie do przyjęcia dlatego, że, jak, dwa odwiedzający miesięcy - I płacił, jak, 2,95 dolarów miesięcznie. I jestem pewien, że to było w czyjejś piwnicy. Ale znowu, nie dostaniesz koniecznie żadnych gwarancji uptime lub skalowalność. Więc jeszcze raz, jesteś zazwyczaj szuka na coś więcej niż tylko to. 

A co z SSL? Więc co SSL służy? Załóżmy teraz zacząć kierować się wskazówki bezpieczeństwa i rzeczy, które może nam zaszkodzić. Zwłaszcza, venture na własną rękę. 

Co SSL, lub co SSL służy? Bezpieczeństwo, OK. Więc to jest wykorzystywane do zabezpieczenia. Co to znaczy? Więc to skrót od Secure Sockets Layer. I jest wskazany przez URL , który rozpoczyna się od https://. Wielu z nas prawdopodobnie nigdy nie wpisany https://, ale będziesz często, że Twoja przeglądarka jest przekierowywana z HTTP do HTTPS tak, że wszystko tam jest po szyfrowane. 

FYI, przy użyciu protokołu SSL wymaga zazwyczaj, że masz unikalny adres IP. I zazwyczaj uzyskać unikalny adres IP trzeba zapłacić hosting spółek kilka dolarów więcej miesięcznie. Więc sobie sprawę, jest to bardzo łatwe realizowane te dni kupując IP adres i skup co zwany certyfikat SSL. Ale świadomość, że nie pochodzi w pewnym dodatkowych kosztów. I, jak postaramy się przestraszyć się tylko bit, to nawet nie koniecznie 100% chroni cokolwiek to jest starasz się chronić. 

Tak dla bezpieczeństwa, myślałem I dalszy zrobić coś w rodzaju przypadkowej segue tutaj. Jak można się dowiedzieć od wykładu CS50 jest filmy, nasz zespół produkcyjny został wentylator jak mam brać naprawdę ładne photography kampusu i antena photography ostatnio. Jeśli kiedykolwiek spojrzeć w górę i zobaczyć coś latające z małym aparatem, może to być rzeczywiście CS50. A ja myślałem, że akcja minutę część materiału zespół zebranych, szczególnie gdy patrzymy na semestr letni i na jesieni. Jeśli ktoś z was ma talent do photography, Filmografia, chcielibyśmy kocham cię zaangażować za kulisami. Ale o tym szczegółowo w tygodniu. 

[MUZYKA] 

DAVID J. MALAN: Okazuje się, że jest miniaturowy golf na szczycie stadion, że nigdy nie wiedział o. 

[MUZYKA] 

DAVID J. MALAN: Możesz zobaczyć Zarys warkotem tam. 

[MUZYKA] 

DAVID J. MALAN: Najlepsze tutaj jest, oglądać jogger po lewej. 

[MUZYKA] 

DAVID J. MALAN: Kolejny przykład na to, co można zrobić z technologii, która jest tylko stycznie, szczerze mówiąc, związane z bezpieczeństwem. Ale myślałem, że będzie więcej droga zabawa po prostu mówiąc, bezpieczeństwo. Zobaczmy więc, jeśli nie możemy was przestraszyć teraz się nie tylko trochę mało zagrożenia, ale również podstawowe zrozumienia, co te zagrożenia jest tak, że do przodu można zdecydować, czy i jak się bronić się przed takimi rzeczami i na najmniej być świadomi z nich, jak podejmowania decyzji o tym, czy nie wysłać tego maila, czy do zalogowania w tej stronie, nawet w używać, kafejkę w bezprzewodowy dostęp do Internetu punkt tak, że wiesz, co zagrożenia są rzeczywiście wokół ciebie. 

Więc Jonathan dalej coś jak to w poniedziałek. Miał zrzut ekranu okna. Ten jest z komputerem Mac. Ilu z was kiedykolwiek zainstalowany oprogramowania na komputerze Mac lub PC? Oczywiście każdy. Ilu z was dały dużo myśli do wpisywania hasła po pojawieniu się monitu? To znaczy, nawet nie wiem, szczerze mówiąc. Tak więc para z nas są dobre w paranoję. Ale za co jesteś właściwie tu robi. 

Na typowym komputerze Mac lub PC masz konto administratora. I zazwyczaj jesteś tylko jeden przy laptop przynajmniej te dni. Więc konto, Malan lub JHarvard czy cokolwiek to jest, jest konto administratora. A co to znaczy, masz wykorzenić dostęp do komputera. Można zainstalować wszystko, co chcesz, usunąć wszystko co chcesz. 

I zwykle w tych dniach, z powodu decyzje projektowe z dostepnych lat temu, sposób najbardziej oprogramowanie zostanie zainstalowane jest jako administrator. I nawet jeśli komputer Mac lub PC ma co najmniej zdobyć wystarczająco inteligentny ponad roku z najnowszych wcieleń Mac OS i Windows, aby nie uruchomić nazwa użytkownika domyślnie jako administrator, podczas pobierania niektórych Nowy program z internetu i spróbuj zainstalować go, jesteś prawdopodobnie będzie zostać wyświetlony monit o podanie hasła. Ale haczyk jest w tym momencie, że jesteś dosłownie przekazanie kluczy do komputer, w celu co random Program po prostu pobrać i co pozwala na zainstalowanie co chce. 

I jak Jonathan wspomniał, sprawę że może powiedzieć, że chce instalacji oprogramowania, które dbają o, Spotify czy iTunes lub cokolwiek jest to, że próbujesz zainstalować. Ale jesteś dosłownie ufając autorowi lub autorzy oprogramowania do tylko to, co program ma robić. 

Ale nie ma absolutnie nic zatrzymując większość programów na najbardziej systemy operacyjne od usuwania plików, z przesłaniem ich do niektórych spółki strona www, z trollingu wokół, do szyfrowania rzeczy. I znów mamy rodzaj budowy Cała infrastruktura na lata na zaufaniu. I tak okazuje się, że właśnie było ufając przypadkowe osoby i przypadkowe przedsiębiorstw w przeważającej części. 

A Jonathan wspomniał też, czasami spółki te same w sobie są rodzajem świadomie złośliwy, wszystko w porządku? Sony złapany dużo Flack kilka lat temu do instalacji, co się nazywa Zestaw rootkit na komputerach ludzi bez ich wiedzy. A sedno jest to, że kiedy kupiłem płytę na przykład, że nie chce, aby być w stanie skopiować lub zgrać muzykę off, by CD instalacji, bez Twojej wiedzy, rootkit na komputerze. Rootkit właśnie sposób oprogramowanie, które działa jako administrator, które potencjalnie robi złe rzeczy. 

Ale wśród tych rzeczy to coś nie została ona ukryła się. Więc niektórzy z was mogą być dość bystry z komputerem i wie, dobrze, można po prostu otworzyć Menedżera zadań lub Monitor aktywności i mogę spojrzeć na wszystko z arcanely wymienionych programów , które są uruchomione. A jeśli coś nie wygląda podejrzanie Ja po prostu go zabić lub usunąć. Ale to, co rootkit zrobił. To w zasadzie powiedział, jeśli uruchomione zadanie Menedżer, nie pokazują się. 

Tak więc oprogramowanie było. I tylko wtedy, gdy naprawdę wyglądał trudno nawet można go znaleźć. A stało się to w imię ochrony przed kopiowaniem. Ale proszę sobie wyobrazić, co może było zrobić inaczej. 

Teraz w zakresie ochrony siebie. Wiele witryn internetowych są cudownie łaskawy, gdyż umieścić je ikony kłódki na swojej stronie internetowej, które Oznacza to, że strona jest bezpieczna. To od bankofamerica.com rano. Więc co to mała ikonka kłódki nie oznacza, obok przycisku Zaloguj się? 

Absolutnie nic. To oznacza, że ​​ktoś wie, jak korzystać Photoshop zrobić zdjęcie ikona kłódki. Spodobać całkiem dosłownie, że jest to tam ma być pozytywny sygnał dla użytkownika, takich jak, ooh, bezpieczną. Mam zaufać tej stronie i teraz wpisz w mojej nazwy użytkownika i hasła. I to było dla konwencjonalnych lat, dopiero w tym rano. 

Ale pod uwagę nawyki, które to się robi nas w. Rozważmy ukrytą wiadomość, że wszystkie z tych banków w tym przypadku być wysyłając do nas za rok. Jeśli widzisz kłódkę, a następnie zabezpieczyć. Wszystko w porządku? 

Więc jak można nadużywać tego systemu zaufania, jeśli jesteś zły? Załóż kłódkę na swojej stronie internetowej, a Logicznie rzecz biorąc, użytkownik zostanie uwarunkowane lat zakładać kłódka oznacza bezpieczne. A może to rzeczywiście być bezpieczne. Możesz mieć cudownie bezpieczne SSL połączenie HTTPS fałszywa strona. com. I nikt inny na świecie nie może zobaczyć że masz zamiar przekazać go lub ją Twoja nazwa użytkownika i hasło do konta. 

Ten jednak, być może, jest trochę bardziej pocieszające. Więc to jest zrzut ekranu z góry z mojej przeglądarce to rano na bankofamerica.com. I tu też możemy zauważyć mają ikonę kłódki. Co to oznacza w tym kontekście, w Chrome przynajmniej? 

Tak więc jest to teraz przy użyciu protokołu SSL. Więc to jest rzeczywiście lepsze rzeczy. A fakt, że Chrome jest uczynienie go zielony ma na celu zwrócenie naszej uwagi z tym, że jest to nie tylko przez protokół SSL. Jest to firma, że ​​ktoś się nie sprawdziła, jest rzeczywiście bankofamerica.com. A to oznacza, że ​​Bank of America, przy zakupie tzw SSL Świadectwo, zasadniczo duży random, nieco liczb losowych, które wdrażają bezpieczeństwo dla nich, zostały one zweryfikowane przez niektóre niezależny partia, która mówi, yep. To jest rzeczywiście prezes Banku Ameryka próbuje kupić certyfikat. Chrome będzie zatem nadzieję, że Instytucja certyfikująca i powiedzieć w zielona, ​​to bankofamerica.com. I Bank of America po prostu płaci mało sto dolarów za to, albo kilka tysięcy w przeciwieństwie do kilkadziesiąt dolarów. 

Ale i tu, jak wielu z was kiedykolwiek zachowywał się inaczej, bo URL w przeglądarce jest zielony zamiast czarnego? Prawda? Tak więc para z nas. I to jest dobre, aby być paranoikiem. Ale nawet wtedy, ci z was, którzy jeszcze zauważysz te rzeczy, czy rzeczywiście zatrzymać zalogowaniu się na inny sposób bezpieczny stronie internetowej, jeżeli URL nie jest zielony? W porządku, więc chyba nie, prawda? Co najmniej większość z nas, jeśli nie znajduje się w zielonym, najprawdopodobniej masz po prostu się tak być, cokolwiek. Tak jak chcę się zalogować do serwisu. Dlatego tu jestem. Idę się zalogować jednak. 

Tak na marginesie, Chrome jest trochę lepiej o tym. Ale jest wiele przeglądarek jak Firefox na przykład, co najmniej na jakiś czas, jeżeli ikona kłódki jest, rzeczywiście można umieścić dowolny icon własnych. Pozwól mi zobaczyć, co najnowsza wersja z Firefox wygląda. Więc jeśli idziemy do CS50.net. 

OK, tak, że już coraz lepiej, jak również. Co przeglądarek używanych zrobić to jak, Oto na przykład [? SAAS jest?] grzebień tutaj. To tak zwane ulubionych ikona na stronie internetowej. Lat temu - faktycznie nie tak dawno temu - że mało tarcza byłaby prawo tutaj obok adresu URL. Bo jakiś geniusz postanowił, że po prostu wyglądają bardzo elegancki mieć Twój graficzny prawo logo obok adresu URL. I projektowanie mądry, że faktycznie jest dość przekonujące. 

Więc co zły początek facet robi? Zaczęli zmieniając ich ulubiony ikony lub ich domyślne ikony strona główna się nie grzebień ale kłódki, który miał absolutnie nie ma znaczenia. Inne niż ich ulubionej ikony została kłódka nie miał Wskazania bezpieczeństwa. 

Więc są tu lekcje Kilka myślę. Jednym jest to, że nie są w rzeczywistości niektóre Mechanizmy dla dobrych intencjach uczy nas użytkowników o bezpieczeństwo nawet gdybyś nie był nawet świadomy tego, co zielone myśli lub co nawet HTTPS myśli. Ale jeśli te mechanizmy dostać nas w zły nawyk stron ufających kiedy widzimy te pozytywne sygnały, Są bardzo łatwo nadużywane jak widzieliśmy przed chwilą coś głupie jak ten. 

Więc przychodzi do sesji porwanie grać, jak powiedzieliśmy wcześniej, z plików cookie na przykład. I co to właściwie znaczy? Cóż z porywaniem sesji to wszystko o kradzież czyichś cookies. Więc jeśli otwarcie Chrome tutaj, na instancji, a ja otworzyć Inspektora tu i idę do Zakładka Network - i zrobiliśmy tego wcześniej - i idę do czegoś http://facebook.com Enter, cała Kilka rzeczy idzie po ekranie ponieważ wszystkie obrazy i CSS i Pliki JavaScript. 

Ale jeśli spojrzeć na ten jeden tutaj zauważyć, że Facebook jest rzeczywiście sadzenia jednego lub więcej plików cookie na moim Przeglądarka tutaj. Tak więc są to głównie strony znaczki, które reprezentują mnie. A teraz mam nadzieję, że moja przeglądarka przedstawić to ponownie i ponownie, gdy Ponownie odwiedzimy tę stronę. Ale to tylko jest bezpieczna, powiedzieliśmy Kilka tygodni temu, jeśli używasz SSL. 

Ale nawet sam może SSL być zagrożona. Zastanów się przecież sposób SSL prac. Jeżeli Twoja przeglądarka połączy się zdalnie serwer poprzez https://, długie opowiadanie, kryptografia jest zaangażowany. To nie jest tak proste, jak Cezara lub Visionaire lub nawet DES, DES z , podczas gdy już w pset2. To bardziej wyrafinowana. To się nazywa kryptografii. Ale naprawdę duży i naprawdę losowe Cyfry używane są do Scramble informacji między punktem A, ty, i punkt B, jak facebook.com. 

Ale problemem jest to, jak wielu z nas ponownie kiedykolwiek wpisz https:// na początku nasze połączenie strona w tym trybie bezpiecznym? Chodzi mi o to, jak wielu z was nawet Rodzaj http://facebook.com? Dobrze, jeśli nie, lubię, witam. Nie musisz tego robić więcej, prawda? Przeglądarka będzie zrozumieć. 

Ale większość z nas rzeczywiście wpisz facebook.com. Bo jeśli jesteśmy przy użyciu przeglądarki, Przeglądarki zdobyć wystarczająco inteligentny, by 2013 założenie, jeśli używasz przeglądarki, wpisać adresu, Prawdopodobnie nie ma dostępu do jej poprzez e-mail lub wiadomości błyskawicznej. To znaczy, HTTP i port 80. Konwencje te zostały przyjęte. 

Ale jak działa przekierowanie? Cóż, zauważyć, co się tutaj dzieje. Jeśli wrócę do Chrome - i zróbmy to w trybie incognito Tryb, aby wszystkie moje Ciasteczka są wyrzucane. I pozwól mi odejść, żeby, ponownie, facebook.com. I zobaczymy co się stanie. 

Przypomnijmy, że pierwszy wniosek był rzeczywiście tylko na facebook.com. Ale to, co było odpowiedzią, że mam? To nie było 200 OK. Było to 300 lub 301, który jest przekierowanie mówi mi, aby przejść do http://www.facebook.com, który jest gdzie Facebook chce mi iść. Ale jeśli spojrzymy na następne żądanie, i widzieliśmy tego wcześniej, zauważyć, co ich druga odpowiedź jest. W szczególności, że chcą mnie teraz przejdź do wersji SSL Facebook. 

Więc tutaj jest okazja. To wspaniale przydatna funkcja się tylko z sieci i HTTP. Jeśli użytkownik chce mi jak Facebook aby pozostać na bezpiecznej wersji ich strona www, to świetnie. Będą przekierowanie mnie do siebie. I tak nie mam nawet Pomyśl o tym. 

Ale co, jeśli między punktem A i B, między tobą i Facebook, istnieje pewne bad guy, jest pewien system administrator w Harvardzie, który jest ciekawy zobaczyć kim są twoi przyjaciele. Albo istnieje jakiś - lat temu, to kiedyś wydawać szalony - ale jest kilka jednostek samorządu terytorialnego, jak NSA, którzy rzeczywiście interesują w kim jesteś szturchanie na Facebooku. Gdzie jest możliwość istnieje? Cóż, tak długo, jak ktoś ma wystarczająco dużo techniczne doświadczonych i mają dostęp do rzeczywistej sieci przez Wi-Fi lub inne fizyczne kabel, Co mogą zrobić? 

Dobrze, jeśli są w tej samej sieci, jak ty i oni wiedzą coś na temat TCP / IP i adresów IP i DNS i jak wszystko to działa, co zrobić, jeśli to człowiek w środku, co jeśli Narodowy Agencja Bezpieczeństwa, cokolwiek to może być, ale co, jeśli po prostu tego podmiotu reaguje szybciej niż Facebook, aby żądanie HTTP i mówi: oh, jestem Facebook. Idź przed siebie, a tu HTML na facebook.com. 

Komputery są cholernie szybko. Można więc napisać program uruchomiony na Serwer jak nsa.gov że gdy rozpatruje wniosek od Ciebie dla facebook.com, bardzo szybko za sceny dostaje prawdziwego podejmowanie facebook.com doskonale [? owskiej?] bezpieczne Połączenie SSL między NSA oraz między Facebook, że uzyskanie HTML bardzo pewnie do strony logowania, a następnie Serwer NSA po prostu reaguje na Ciebie ze strony logowania facebook.com. 

Teraz, jak wielu z was nawet nie zauważy że używasz Facebooka przez HTTP jeszcze w tym momencie, ponieważ masz przypadkowo podłączony do nsa.gov i nie Facebook? URL nie zmienia. Wszystko to jest robione za kulisami. Ale większość z nas, w tym ja, prawdopodobnie nie zauważy taki drobny szczegół. 

Więc możesz mieć całkowicie wykonalne Połączenie między wami i co zdaniem jest Facebook, ale jest tzw. człowiek w środku. I jest to ogólne określenie człowieka w middle attack, gdzie trzeba trochę Jednostka między tobą a punkt B, który jest jakoś manipulacji, kradzieży lub oglądanie danych. Więc nawet SSL nie jest murowany, zwłaszcza jeśli już nabrać nie włączając go, ponieważ, jak to podstawowe mechanizmy rzeczywiście działa. 

Więc lekcja dzisiaj to też jest, jeśli naprawdę chcesz być paranoikiem - i nawet tutaj istnieją zagrożenia - trzeba naprawdę zacząć się zwyczaj pisania w https://www co nazwa domeny faktycznie zależy. 

I jak na bok zbyt jest z kolejnym zagrożeniem w odniesieniu do przechwycenia sesji. Bardzo często podczas pierwszej wizyty strona jak facebook.com, chyba Serwer został skonfigurowany tak, aby powiedzieć, że że ręka go umieścić znaczek na ciebie wczoraj należy zabezpieczyć się, twój przeglądarka może bardzo dobrze, na odwiedzające rzeczy, jak facebook.com google.com, twitter.com, przeglądarka może przedstawiać ten znaczek tylko ręcznie nie uderzył w dół i powiedział, nie. Użyj SSL. 

Ale jest już za późno w tym punkcie. Jeśli już wysłany rękę pieczęć, plik cookie, w jasny z no SSL, masz ułamek sekundy Luka, gdzie ktoś wąchania Twój ruch, czy współlokator lub NSA, może następnie użyć tego samego pliku cookie, a z odrobiną technicznych doświadczonych, przedstawia je jako swoje własne. 

Kolejny atak możesz być nie myślałem o. Ten jest naprawdę na ciebie, jeśli przykręcić to w piśmie niektóre strony, że w jakiś sposób wykorzystuje SQL. Więc, na przykład, jest ekran strzał logowanie Harvardu. I to jest ogólnie przykładem coś z nazwa użytkownika i hasło. Super wspólnego. Więc załóżmy, że istnieje i SSL nie ma człowiek w środku lub coś w tym stylu. Teraz skupiamy się na serwerze Kod, który można napisać. 

Cóż, kiedy wpisać nazwę użytkownika i hasło, przypuszczam, że usługa PIN realizowany jest w PHP. A może masz jakiś kod na tym serwerze tak. Pobierz nazwę użytkownika z postu Super globalny i uzyskać hasło, a następnie jeśli używasz jakiś pset7 jak Kod jest funkcja query że może to zrobić. Wybierz hotel od użytkowników, gdzie nazwa użytkownika odpowiada, że ​​i hasło jest równe. 

To wygląda na pierwszy rzut oka, całkowicie uzasadnione. To jest składniowo poprawny kod PHP. Logicznie rzecz biorąc nie ma nic złego. Przypuszczalnie istnieje jakiś więcej linii, które rzeczywiście zrobić coś z wynik, który wraca z bazy danych. Ale to jest podatny na z następującego powodu. 

Zauważ, że tak jak dobry obywatel, Włożyłem w cudzysłowie, single cytaty, nazwę użytkownika. I umieścić w apostrofach hasło. I to jest dobra rzecz, ponieważ są one nie ma za numery. Zazwyczaj są one będzie tekst. Więc cytuję je jak struny. 

I jeśli teraz przejść dalej, co, jeśli - a ja już usunięte kule z PIN usługi czasowo - co jeśli próbuję zalogować się jako Przewodniczący [? Scroob?] ale twierdzą, że moje hasło 12345 'OR '1' = '1 i anons to, czego nie zrobili. I nie zamyka innych apostrof. Ponieważ jestem dość ostry tutaj jako zły facet. I jestem przy założeniu, że są, że jesteś nie bardzo dobre ze swoimi Kod PHP i MySQL. Zgaduję, że nie masz kontroli na obecność cytatów. 

Więc co się stało jest to, że kiedy twój użytkownik wpisał w tym ciągu, query jesteś o stworzenie wygląda tak. I krótko mówiąc, jeśli i coś razem, albo czy coś razem to będzie powrót wiersz z bazy danych. Bo to jest zawsze tak, że 1 jest równa 1. 

I właśnie dlatego, że nie przewidujemy że użytkownicy, dobre lub złe, być może mają apostrof w nazwie Cię Stworzyliśmy zapytanie SQL, które nadal ważne, i wróci teraz więcej wyników niż mogłeś przeznaczone. A więc to zły facet ma teraz potencjalnie zalogować się do serwera ponieważ baza danych zwraca wiersz nawet jeśli on lub ona nie ma pojęcia, co [? Scroob jest?] Rzeczywisty hasło. 

Oh, zdałem sobie sprawę, literówka tutaj. Powinienem powiedział hasło równa 12345 jak poprzedni Przykładem lub 1 jest równa 1. Zrobię to w Internecie. 

Dlaczego więc mamy używasz zapytanie Funkcja ze znakami zapytania? Jedną z rzeczy, funkcji query ma dla Ciebie jest to gwarantuje, że kiedy przechodzą w argumenty po przecinki tutaj jak to, że zapytanie że rzeczywiście wysłany do Baza wygląda tak. Brzydsza wiele do obejrzenia, ale z powrotem ukośniki zostały automatycznie włożona dokładnie, że w celu uniknięcia atak iniekcji, że pokazałem chwilą. 

Teraz zabawa XKCD, że myślałem, że ciągnąć tutaj, że mam nadzieję, że powinien być teraz trochę bardziej zrozumiałe to jest jeden tutaj. 

Trochę? Może potrzebujemy trochę więcej Dyskusja na ten temat. Więc jest to aluzja do małego dziecka nazwie Bobby, który w jakiś sposób brane zaletą strony internetowej, która jest po prostu ufając, że to, co użytkownik wpisał W nie jest, w rzeczywistości, kod SQL ale w rzeczywistości ciąg. 

Teraz możesz przypomnieć, że spadek - może widzieliście to - oznacza spadek usunąć tabelę, usunąć bazę danych. Więc jeśli w istocie twierdzą, że nazywasz się Robert "; droptabl estudentsomething,] można bardzo dobrze oszukać bazy danych nie tylko do sprawdzenia, że ​​jesteś rzeczywiście Robert, ale średnik również przejdź usunąć tabelę. 

I tak ataków SQL injection może faktycznie jako zagrożenie, ponieważ przy czym można usunąć czyjeś dane, Możesz wybrać więcej dane teleadresowe niż przeznaczone, można wstawić lub aktualizacji danych. I rzeczywiście można zobaczyć na co ćwiczenia do domu, nie na złośliwe cele, ale tylko dla instruktażowe, to czas, zostanie wyświetlony monit logowania na stronie internetowej, w szczególności jakiś nie bardzo publicznie, bardzo popularna strona internetowa, spróbuj zalogować się jako John O'Reilly lub ktoś z apostrof w ich imieniu. Albo dosłownie wpisać apostrof, naciśnij klawisz Enter, i zobaczyć co się dzieje. 

I zbyt często, Niestety, ludzie nie oczyszczone ich wejścia i upewnić się, że takie rzeczy jak cytaty lub średniki są uciekł. Dlatego właśnie w pset7 dajemy Państwo to zapytanie funkcja. Ale nie pod docenić dokładnie Co robi dla Ciebie. 

Więc z tym powiedział, korzystają przy użyciu internetowych w tym tygodniu. I zobaczymy w poniedziałek. 

Na następnym CD50. 

[MUZYKA]