[MUSIC] DAVID J.马兰所有权利。因此，这是CS50和这第10周结束。因此，有些你可能已经看到了这了，但后期分发我想我读了一篇文章，摘录，然后告诉你一个三分钟的视频，描绘同样的画面。这真是一个感人的故事，我想，在此交汇现实世界中真正引人注目使用的技术。因此，文章，题为“一个小男孩火车上睡过头，使用谷歌地图 25年后找到家人。“而第一几段， “当Saroo 5岁，他去与他的哥哥攒够改变旅客列车在约两个小时的小镇从他的家乡小。 Saroo累了，跳上附近的火车，他认为他的哥哥，然后就睡着了。当他醒来时，他是在加尔各答，近900公里的路程。 Saroo试图找到他的方式回来了，但他不知道他的家乡的名字。而作为一个小的男孩在一个巨大的文盲被遗忘的孩子，他有充分的城市几乎没有机会回家。他是一个街头的孩子一段时间，直到当地的收养机构大呼过瘾他与一对澳大利亚夫妇谁把他带到住在霍巴特，塔斯马尼亚。 Saroo搬到那里，学到英语，长大了。但他从来没有停止过寻找他的家人和他的家乡。几十年后，他发现谷歌地球随后铁轨。给自己规定的半径基于多久，他以为他是睡着了，速度有多快，他认为火车要去，他知道他在那里长大在温暖的气候中，他知道他说话印地语作为一个孩子，他被告知他看起来就像从东印度。最后，经过多年的冲刷卫星照片，他公认的几个标志性建筑。及后与管理员聊天附近的一个小镇 Facebook页面，他意识到他找到家。“ 因此，这里则是视频告诉故事从他的角度。 [视频回放] 这是26年前，我是刚想转5。我们到了火车站，我们一起登上了火车。只是我哥哥说，我会留在这里，我会回来。我只是在想，好了，你知道吗，我还不如干脆去睡觉，那么他就叫醒我。而当我醒来的第二天，一个失控的，整节车厢是空的火车上，一个幽灵列车我不知道在哪里。我是被收养了澳大利亚一个澳大利亚家庭。妈妈，我的房间装饰印度地图，这是她旁边放我的床边。我每天早上醒来，看到地图，因此，它保持了回忆活着。人们会说，你想找到大海捞针。 Saroo，你永远也找不到它。我有闪烁的地方，我曾经去，闪烁我家的面孔。我的母亲坐在图像与她的腿越过只是看着她哭。人生就是这么难。这是我的宝贝。我一直在寻找在谷歌地图意识到有谷歌地球。在这样一个世界，在那里你可以放大到我开始有所有这些想法和什么可能性这能为我做什么。我对自己说，好了，你知道吗，你已经得到了所有的摄影回忆和你所在的地标从和你知道什么镇看起来像。这可能是一个应用程序，你能找到自己的方式。我想，好吧，我把一个点在方圆加尔各答火车站行，你应该寻找在这个区域附近。我碰到这些火车轨道。我开始和我来到火车站反映相同的图像，这是在我的记忆中。一切都匹配。我只是想，是的。我知道我要去的地方。我只是要我让地图在我的头上有引导我，带我回到我的家乡。我来到家门口的房子我出生走来走去约15米在拐角处。有三个女人站在门外彼此相邻的。中间的一个上前。我只是在想，这是你的母亲。她走上前来，她抱着我，我们有大约五分钟。她抓住我的手，她带我去房子，拿起电话，和她响了我的妹妹和我哥哥说你弟弟只是所有的像幽灵一样突然出现。那么家庭再次团聚。一切都很好。我帮我的母亲。她不必累死累活。她可能会导致剩下的她生活在和平之中。这是一个大海捞针，但针在那里。一切的存在。我们在世界上拥有的一切是一个按钮的抽头。可是你有意愿和希望它的决心。 [END视频播放] 因此，一个非常甜蜜的故事。它实际上让我想起了一个相当主题得到颇有几分关注后期深红，更在全国范围内通用。特别是作为正在MOOCs 的后期阶段。这些大规模和开放MOOCs 在线课程CS50。人们谈论如何，例如，人文是不是真的赶上或几乎没有在时尚，因为他们曾经是。我鼓励你们，远像乔纳森周一做，想在您退出50，我们知道已经有大约50％的人则不会继续到另一台计算机科学当然，这完全罚款和预期。因为一个总体目标像这样一类是真的使你们只是一个如何所有的这些东西的理解工作原理以及如何这个世界技术工程。所以，当你在自己的世界，无论是医学预科或无论是人文，社会科学或其他一些领域干脆，你们带来一些技术知识表帮助时做出明智的决策它涉及到使用引进技术进入你的世界。例如，我想起了已故过两个本科前我花了两年的班，这是这么简单的使用技术但曾经如此引人注目。教授汤姆·凯利的第一晚如果你已经采取了类。它是一个类的古典音乐这个阶段在这里你学习一些关于音乐。它实际上是第一晚，CS50 借用了轨道为那些之间不舒服更舒适。在我的时间，他们有不同的轨迹绝对没有音乐的孩子像我这样的体验，然后孩子们已被执行，因为它们是 5岁。而那类，比如，刚把最喜欢任何其他一个网站，但它是一个网站，允许你探索音乐并播放音乐剪辑类，从网上，只是使用的技术在一个非常无缝的方式。另外一类年后，我经审核，从本质上讲，在读研究生，人类学家1010简介这里考古学。这是惊人的。而其中最引人注目的还超明显，现在回想起来，使用软件是教授，类使用谷歌地球。我们坐在对面的街道在某些报告厅。你不能旅行，例如，中东挖教授刚刚复出，但我们能做到这一点几乎飞来飞去在谷歌地球和看着在一个鸟瞰他刚刚回到挖掘现场从一个星期前。所以，我会鼓励你们，特别是在人文，去在此之后，备份这些部门的使您的最终项目类你或你自己的想法，看什么可以做，以注入在人文或超出自己的领域这类带有一点点我们探讨的东西，CS50在这里。因此，与描绘，以为我们会想办法解决两件事情今天。一，尽量给你的感觉在这里，你可以去50后。，特别是如果你选择解决是一个基于Web的项目令人难以置信的普遍，你怎么可以去起飞CS50 培训车轮和去那里你自己，而不是依靠 PDF格式的pset或规范？不必依靠一个CS50 家电了。但真正能自己拉由白手起家。随着中说，基于C的最终欢迎项目。使用支架的事情，便携式图书馆图形欢迎。我们只知道，统计学上有很多人咬掉在PHP和项目 Python和Ruby，MySQL和其他环境，所以我们会偏向一些朝我们的言论。但是，快速回看。因此，我们认为理所当然的在pset7在事实上，$ _SESSION存在。这是一个超级全局，一个全球性的，关联数组。这是什么让你这样做吗？在功能上，有什么配备这给了我们吗？是吗？为了跟踪用户的ID。这是为什么有用吗？为了能够存储在该超或[全球JHarvard的？ scroobs？] 马兰的用户ID，当他或她访问站点。没错。所以，你不必登录在一遍又一遍。这将是一个真正跛脚万维网如果你每次点击一个链接像Facebook这样的网站上，或每次你点击你在Gmail中的电子邮件不得不重新验证证明，它仍然是你，而不是你的室友谁可能已经走到了你的电脑在你缺席的情况下。因此，我们只是使用会话请记住你是谁。这是怎么实现的引擎盖下？如何做一个网站，使用，协议，Web浏览器和服务器说，怎么做，这是一个HTTP 无状态的协议，让我们说。和无国籍的，我的意思是，一旦你连接到一个网站，下载一些 HTMLs，一些JavaScript，一些CSS，你浏览器的图标停止旋转。你不必有固定连接到服务器的典型。就是这样。有没有维持状态不断。那么，如何在执行的是会话每次你做的方式访问新的页面，网站会记住你是谁？什么是底层的实现细节？喊出来。这是一个字。饼干。好的。所以，饼干。那么，如何使用cookies？我们会记得，一个cookie一般是只是一条信息。它往往是一个大的随机数，但并不总是这样。您的硬盘上种植一个cookie 驱动器或电脑的RAM，所以每次你重温相同网站，您的浏览器提醒服务器，我的用户1234567。我用户1234567。等只要服务器想起该用户1234567 JHarvard，该网站将只是假设你是谁，你说你是。记得我们提出这些cookies 排序的形式的虚拟手的立场。它在HTTP头中发送提醒服务器，你是谁呢认为你是。当然，也有威胁。什么样的威胁，这打开我们如果我们的俱乐部基本上使用排序或游乐园机制记住我们是谁？如果您要复制别人的cookie，并劫持他们的会话，可以这么说，你可以伪装成别人的网站最有可能只是要相信你。因此，我们会回来的。因为今天其他主题超越赋权也说话关于非常可怕的世界，我们生活在只是多少你做什么网页，你做什么，甚至有多少您的手机上今天可以任何人之间真的跟踪你和点B。和Ajax召回。我们看上去只有在这短暂，虽然你一直在使用它因为你使用间接pset8 谷歌地图，因为你使用谷歌地球。谷歌地图和谷歌地球不下载到你的整个世界桌面上，很明显，时刻，你加载pset8。只下载一个正方形的世界或更大的平方地球。然后你每次排序的转向超出范围的，你可能会注意到 - 特别是如果在一个缓慢的连接 - 了一会儿，可能会看到一些灰色还是有点模糊图像计算机下载更多这样的砖，更多这样的意象从世界或地球。 Ajax是一般的技术通过该网站正在做的。一旦你需要更多的地图，使用Ajax，这是浏览器是怎么回事本身不是一个语言或技术，它只是一种技术。它是使用JavaScript去得到更多信息的服务器让您的浏览器去得到什么的以东或以西的什么否则目前的在该地图上示出。因此，这是一个话题，许多会遇到直接或间接地通过最后的项目，如果你选择使东西是类似的动态提取数据从一些第三方网站。因此，我们已经有了一个真正令人兴奋的下周三提前。竞猜的，这些信息对于已经是CS50.net。知道有将是一个审查会议下星期一5:30。已经发布的日期和时间关于表上CS50.net。不要让我们知道你有任何问题。同时Pset8已经在你的手中。让我解决一个常见问题拯救乡亲一定的压力。对于大部分唠了很多我们看到在办公时间和大量的我们看到报道讨论的bug 确实在学生的代码错误。但是，当你遇到一些像谷歌地球插件崩溃甚至根本不工作，你是相信这不是你的，它不是一个 [？ chamad问题，它不是一个 bug，你引入分发代码。刚刚实现仅供参考 - 这是图Z排序 - 我们最后一次用这个问题设置和我们类似的跑进的问题，有一个行代码 service.js，基本上是这样的，说，把建筑物。他们的工作围绕最后一次，我们做这，再次，角的情况下只是不能让学生织补东西的工作是改变时真亦假在这一行代码。你会发现，如果你搜索通过service.js。我不建议这样做，因为你会创建最贫瘠的风景剑桥，马萨诸塞。这会从字面上你的世界变平使所有你看到的是教学研究员和课程助理在地平线上没有任何建筑物。但要意识到，无论什么原因谷歌地球插件似乎仍然是越野车一年后，所以这可能是你的失败保存。因此，而不是诉诸眼泪，度假将建筑，如果你知道它的插件，不配合在您的Mac或PC。但是，这又是不得已的，如果你肯定这不是一个错误。所以黑客马拉松。只是一对夫妇的玩笑让你感到兴奋。我们有相当多的回函。而只是为了画一幅画什么等待，我想我给你几个记得此图像秒从去年开始。 [MUSIC] DAVID J.马兰：等待哦。我们甚至有文字CS50班车。 [MUSIC] DAVID J.马兰：所以，这就是等待你在黑客马拉松。这将是一个机会，是明确的，不启动你的最终项目，但继续工作您的最终项目旁边同学和工作人员大量的食物。再次，如果你醒了上午5:00 我们将带你在路上IHOP。 CS50，同时，公平的高潮为整个班级你会带你的笔记本电脑和朋友，在校园内的一个房间甚至全家在街上展示你的项目在笔记本电脑上，高大表这样大量的食物和朋友和音乐的背景下，以及我们从行业的朋友。像Facebook和微软这样的公司与谷歌和亚马逊串别人，所以，如果有兴趣在短短现实世界中听到或关于现实世界中的人聊天实习或全职的机会，知道我们的一些朋友从行业将在那里。和一对夫妇的图片，我们可以这里绘制如下。 [MUSIC] DAVID J.马兰所有权利。所以这是的CS50公平。现在让我们开始讲一个故事。真的希望它将帮助您最终项目之类的东西。所以种子的几件小事记住，无论是最终项目或者只是一般的项目，您可能会决定解决之后当然，这些都记录在manual.cs50.net其中CS50 我们有很多的手册技术文档。而这仅仅是速记符号说，存在于世界上的事情称为SMS到电子邮件网关，这是一种奇特的方式说，在世界上的服务器知道如何转换电子邮件文本消息。因此，如果你你想要的最终项目创建某种手机主题的服务，可以让你提醒朋友或用户在校园的事件什么在D厅提供在那晚或任何有关的警示功能，知道它是简单的发送电子邮件PHPMailer的你可能已经使用为pset7或我们看到简要一个星期左右前，像这样的地址。而事实上，你可以文字这个假设你的朋友有无限短信计划和你不想向他们收取0.10美元。但是，如果你发送一封电子邮件给您的朋友你知道谁拥有Verizon或 AT＆T公司使用Gmail，只是把它发送到无论他们的电话号码子域名，实现你将发送短信。但是，这是一个人的东西要小心。如果您巨魔通过去年的CS50 视频我认为这是一个可怕的，可怕的，可怕的错误，我写代码发送约20,000文本消息活到我们的学生在课堂上。而仅仅是因为有人注意到，他们得到的多个文本从我的消息，我有资金来快速打控制Ç 并停止这一进程。控制C，你还记得，是你的朋友在无限循环的实例。所以要小心我们刚才给的权力而不负责任，最有可能的，根据我自己的经验。但是，这是在网络上，有已经有一段时间了。好的。所以textmarks.com。因此，这是一个网站。还有人在那里串以及，我们实际上已经使用年作为一个类别可以接收短信。不幸的是，发送短信容易，因为发送这样的电子邮件。接收是一个有点困难，尤其是如果你想有一个这只是那些性感的短代码五位或六位长。因此，例如，你已经多年能够发送一条短信 - 你可以试试这个 - 41411。这就是电话号码这个特殊的启动。而如果你发送一个消息到41411 - 我只是把它写在这里，所以41411 - 然后将其发送消息想班车男孩SBOY。然后键入的东西如马瑟四。所以，您发送短信该电话号码。在几秒钟内，你应该找回 CS50班车的响应男孩服务，这是航天飞机调度软件，我们已经有一段时间在网络上。而且它会回应您通过文本消息。因为我们已经做了什么，因为作为一类一个程序员，编写软件，配置免费帐户文字痕听短信发送这个数字SBOY。和他们做什么了那些文字我们的基于PHP的网站的消息 HTTP参数说，在这里。此用户这个电话号码送你这个短信。用它做什么，你想要什么。因此，我们写了一些软件后，接收字符串像SBOY马瑟的四，我们解析它。我们找出其中的空间字与字之间。而我们作为一个阶级的决定如何应对。例如，如果你尝试，现在，你应该看到，通过内响应几秒钟后，未来几班车从马瑟四（如有）。和其他站。您可以输入斯顿或其他此类停在校园里，它应该承认的那些话。所以parse.com。这是另一种服务，我们已经一些学生为指向最终项目的精彩它是免费为合理的使用量。而如果我去parse.com的，你会看到这是一种替代实际上有类似你自己的MySQL数据库。坦率地说，这只是那种如痴如醉。这是里面的即使在阴天，云。所以parse.com允许你做一个一堆有趣的事情。有其他替代品有。例如，您可以使用它们作为后端数据库。所以，你不需要有网络托管公司。你不需要有 MySQL数据库。相反，你可以使用其后端。如果你正在做一个移动项目 Android或iOS或之类的，知道存在的东西，如推送服务所以你可以推给你的朋友发出警报或您的用户的主屏幕。然后一堆其他的特性。所以，如果你有兴趣，看看这些像他们的网站和网站只是看到有多少其他国家的人民“ 你可以站在肩膀，使很酷的软件，你自己的。现在，在认证方面，常见问题，是你怎么保证您的用户是在校园里的人，哈佛的学生或教职员工？因此，CS50有其自己的身份验证服务叫CS50 ID。转到该URL，您可以限制您哈佛大学的网站，任何人都的ID，例如。所以知道，我们就可以搞定。你们不应该在业务说，你叫什么哈佛ID？什么哈佛PIN？现在让我用它做什么。我们会尽一切。我们会给你回什么某人的姓名和电子邮件地址，但没有什么敏感。在移动设备上的一个应用程序，它可以向工作在移动设备上，但它不是设计相当。所以到头来你会花费不平凡大量的时间这样做。所以，我会劝阻现在这条路。这是真正用于基于Web的应用程序。所以虚拟主机。所以，如果你还没有见过该课程的网页 - 这里就是我们将开始一个故事 - 虚拟主机是所有关于支付通常是一个服务，主机拥有的服务器别人在网络上，有一个 IP地址，然后您把您的网站就可以了。他们通常给你的电子邮件帐户和数据库和其他类似的功能。要知道，如果你不希望实际付出这样，去到该网址有CS50实际上有一个非营利帐户，您可以使用其实没有http://project 组件内为您的最终项目。如果你确实希望它成为的东西像isawyouharvard.com 你可以买到的域名 - 虽然不是特定的一个 - 那么你可以去上托管像我们这样的公共网络服务器提供你们经过这里。而事实上，如果不熟悉的，如果你从来没有去过 isawyouharvard.com之一，去那里。但有两个，知道这是一个年轻的蜂蜜啤酒太TOOR两个女人的名字年前，三年前，谁是 CS50一两天发生的校友谁前CS50公平发送了一封电子邮件到她家的邮件列表，瞧。两天后，由的CS50公平，她不得不数百名用户的一切昆虫对方在她的网站说他们看到他或她在校园。所以这是CS50的最爱之一成功案例一个CS50最后的项目。那么你怎么去把一个网站喜欢在互联网上？嗯，有几个这样的这里的成分。所以，你必须购买一个域名。有串的地方世界，您可以从买一个域名。例如，我们建议不仅是因为它的流行被称为它的价格便宜 namecheap.com。但你可以去godaddy.com 有数十人。你可以阅读评论。但在大多数情况下，它不不管从他们那里你买一个域名。他们在不同的价格，他们不同的后缀。的后缀，如。com，。NET 组织，IO，电视，那些实际上在不同的价格。但是如果我们希望做这样的事情 cats.com我们可以去这个网站，单击“搜索”。据推测，这是。但很显然，catsagainst.com 是可用的。 pluscats.com是可用的。 Lovecats catscorner，dampcats.net。此希望伪随机生成的。如果你想cats.pw $ 1,500只，这是一个有点疯狂。所以有人真的抢走了所有猫相关的域名，这里不同的价格。顺便说一句，让我们来看看。谁拥有cats.com？要知道，你们有您的处置相当现在复杂的命令。就像我从字面上可以键入谁是cats.com？而且由于互联网的方式是结构实际上你可以看到谁已注册。显然，这个人是[听不清] 使用代理服务。那么，谁拥有cats.com不希望全世界都知道他们是谁。因此，他们如果通过注册一些随机的隐私服务。但有时候，你实际上得到实际业主。这是说，特别是如果你追求你和一些启动真的想一些域名和你别人愿意支付它，你可以弄清楚联系在这种方式的信息。但有趣的是这一点。让我向上滚动的这一部分。因此，这是相同的输出。而这仅仅是俗气。因此很明显，可以cats.com 你在合适的价格。但是，什么是有趣的是服务器的名称 - 这是总的滥用是什么名称服务器应该是 - 你的名字服务器不应该是 thisdomainforsale.com。如果我们实际上选择类似的东西 - 让我们选择的东西多一点合法的一样，谁是google.com，和滚动。所以在这里 - 那里发生了什么？有趣。除了谁是 - 让我们保持比较低调。是谁mit.edu？确定。这是很有帮助的。因此，这就是我所期待的。合法使用的DNS服务。这里的名称服务器表明以下。这是麻省理工学院的一种说法，每当在世界上的人，无论他们在哪里，输入类型在mit.edu和命中，你的笔记本电脑，无论是Mac还是PC，不知何故最终弄清楚，在世界上的人知道什么 IP地址为mit.edu或任何子域或任何mit.edu 这些服务器在这里 - 它实际上看起来像的MITs基础设施正如你所期望相当强劲。他们有多个名称服务器这是很好的冗余。而事实上，他们似乎是在全球分布在世界各地。那些一堆似乎是在美国，一对情侣在亚洲，一个在欧洲，两在别的地方。但这里的关键是，DNS 我们已经采取理所当然的，通常被描述为一个大的Excel表有IP地址和域名名称实际上是相当复杂的分层服务，以便在世界上居然有一个有限的数量服务器，基本上知道在哪里所有。COMS或全部网，所有的组织之参与，等等。所以当你去购买域名如姓名便宜或从一个地方名称转到爸爸或任何其他的网站之一，关键的步骤，你将不得不做你，如果你这样做，甚至为你的最终项目，是告诉过户登记你在跟谁买的域名名，在世界上的人都知道谁网站的IP地址，您的名称服务器。所以，如果你使用，例如CS50 托管帐户 - 我们正好有通过dreamhost.com此帐户这是一个流行的Web托管公司 - 他们会告诉你，你应该买您的域名，并告诉世人，您的域的名称服务器 ns1.dreamhost.com，ns2.dreamhost.com 和ns3.dreamhost.com。但是，就是这样。购买一个域名，意味着给他们金钱和取得所有权的域，但它更像是虽然租金。你得到它了一年，然后他们法案你recurringly为其余的你的生活，直至您取消域名。然后你告诉他们谁名称服务器。但此时你做你的过户登记。并从那里你会只与互动您的网络托管公司，这在CS50的情况下将是DreamHost的。但同样，将更多的文档提供给你，如果你决定去这条路线。所以，如果你这样做后的结束，简单的谷歌搜索网络托管公司将成千上万的选择。我一般会鼓励你问朋友，谁可能使用了公司之前，如果他们推荐他们有一个很好的经验。因为有很多夜间飞网络托管公司，像一个人在他的地下室与服务器有一个IP地址。他有一些额外的内存和硬盘空间和销售网络托管账户即使有没有办法，服务器可以处理数百个用户或数千用户。因此，意识到你会得到你所付出的。相当长的一段时间，我的个人主页页 - 这是完全可以接受因为我喜欢，两个游客一个月 - 我是支付一样，每月2.95美元。而且我敢肯定，这是在别人的地下室。不过，你并不一定正常运行时间或任何担保可扩展性。所以，再一次，你通常寻找比这更多的东西。那么，什么有关SSL？那么，什么是SSL用来做什么？现在，让我们开始引导安全和东西方向的，可以害我们。尤其是当你的企业在你自己。什么是SSL，或什么的SSL用于？安全，OK。所以它的使用安全。这是什么意思？所以它代表了安全套接字层。，它是由URL表示以https://开始。我们中的许多人可能从来没有输入 https://开头，但你会经常发现从HTTP重定向到您的浏览器 HTTPS，让一切都在那里加密后。仅供参考，使用SSL通常需要你有一个唯一的IP地址。通常得到一个唯一的IP地址你需要支付一个Web托管公司每月多几块钱。因此，认识到这一点是很容易实施这些天通过购买IP 地址和购买什么所谓的SSL证书。但要意识到它确实来一些额外的成本。而且，正如我们会尝试只是一个吓唬位，它甚至不是一定100％不管它是什么保护你想保护。因此，对于安全性，我想我会排序的随机SEGUE。正如你可能知道，从CS50的演讲视频，一直是我们的生产团队风扇，因为我有考虑真的很好校园摄影，空中最近摄影。如果你看你看飞的东西用一个小相机，它实际上可能CS50。而我只是想我会分享分钟球队有一些镜头收集，特别是因为我们希望春季学期和明年秋天。如果你有任何一个诀窍摄影，录像，我们会爱让你参与幕后。但在一个星期内对这些细节。 [MUSIC] DAVID J.马兰：原来有一个迷你高尔夫球场的顶部体育场，我们从来不知道。 [MUSIC] DAVID J.马兰：你可以看到勾勒出的无人机。 [MUSIC] DAVID J.马兰：这里最好的部分，看在左边的慢跑。 [MUSIC] DAVID J.马兰：另一个例子是什么你可以做技术，只有切线，坦率地说，与安全性相关的。但我认为这将是一个更只是说，安全的娱乐方式。因此，让我们来看看，如果我们不能吓唬你们现在不仅有几位威胁，但也是一个潜在的了解什么这些威胁的如此向前移动，你可以决定是否以及如何捍卫自己对这些东西至少要铭记他们为你作出决定是否发出那封电子邮件，不论是否登录到该网站是否使用网吧的Wi-Fi接入点，使你知道什么威胁确实在你身边。因此，乔纳森提到的东西：喜欢这个在周一。他有一个窗口的屏幕快照。这是一台Mac。你们有多少人曾经安装您的Mac或PC上的软件吗？显然每个人。你们有多少人用心良苦输入您的密码出现提示时？我的意思是，即使我不这样做，坦率地说。因此，我们夫妇都不错偏执。但是，考虑你是什么其实在这里做什么。在一个典型的Mac或PC上你有管理员帐户。通常你是唯一一个使用一台笔记本电脑，至少这些天。所以，你的帐户，马兰或JHarvard的或不管它是什么，管理员帐户。这意味着什么是你根访问您的计算机。您可以安装任何你想要的，删除任何你想要的东西。通常，这些天，由于从几年前的过时的设计决策，大多数软件被安装方式作为管理员。而且，即使你的Mac或PC上至少有在得到足够聪明多年与最新的化身 Mac OS和Windows无法运行默认情况下，用户名管理员，当你下载一些互联网和尝试新的程序关闭安装它，你可能会将提示您输入密码。但美中不足的是，在这一点上，你从字面上你的钥匙交给计算机转让给任何随机您刚刚下载的程序和允许它来安装为所欲为。乔纳森暗示，实现它可能会说，它希望安装你的软件，你关心左右，Spotify的或iTunes或任何这是你想安装。但是你从字面上信任作者或作者的软件只能做程序是应该做的。但绝对没有停止对最大多数程序操作系统删除文件，从上传到一些公司的的网站，从曳左右，为：加密事情。再次，我们已经排序的内置整个基础架构多年信任。所以意识到你刚刚被信任随机人民和随机公司的大部分。乔纳森提到过，有时这些公司本身有几分明知是恶意的，没事吧？索尼抓了很多宣传了几年前安装被称为在人们的电脑上的rootkit工具包在他们不知情的情况下。大意是，当你比如买了一张CD，不想让你能够复制或翻录音乐，裁谈会安装未经您知道，一个rootkit在您的电脑上。 Rootkit的只是意味着软件运行作为管理员，潜在做坏事。但是在东西，这个东西没有它本身藏。所以，有些人可能是非常精明与您的电脑，知道了，好了，我可以打开任务管理器或活动监视器，我可以看的名称arcanely的程序正在运行。如果有什么看起来很可疑我就杀了它或删除它。但是，的rootkit的做了什么。它本质上说，如果正在运行的任务经理，不要显示自己。因此，该软件在那里。如果你真的，真的看了硬，你甚至可以找到它。这样做是在名称中复制保护。但可以想像，有什么事情已做，否则。现在，在保护自己的条款。很多网站是奇妙亲切的，他们把这些挂锁图标在他们的主页上这意味着该网站是安全的。这是从bankofamerica.com的今天上午。那么，是什么，小挂锁图标也意味着“登录”按钮旁边？绝对没有。这意味着有人知道如何使用 Photoshop来一个图片挂锁图标。喜欢毫不夸张地说，事实上，它是意思是一个正信号的用户喜欢，哦，安全的网站。我应该信任这个网站，现在输入我的用户名和密码。这一直传统年，最近今早。但考虑的习惯，这让我们进入。考虑隐含的信息，所有在这种情况下，这些银行一直向我们发送了多年。如果你看到了挂锁，然后将其固定。没事吧？所以你怎么能滥用系统如果你是坏人的信任呢？将在您的网站上的挂锁，从逻辑上讲，用户已经空调多年来承担挂锁意味着安全。实际上，它可能是安全的。你可能有一个奇妙的安全 SSL的HTTPS连接到假冒网站。com。没有人在世界上可以看到你交给他或她您的用户名和密码您的帐户。，也许，这虽然是一种更让人放心一点。所以这是一个屏幕拍摄的顶级我的浏览器今天上午在 bankofamerica.com。并注意在这里，我们也有一个挂锁图标。在这种情况下是什么意思至少在Chrome？因此，这是现在使用SSL。因此，这其实是一个更好的东西。而事实上，铬使其绿色是为了引起我们的注意的事实，这是不仅通过SSL。本公司是一家，有人在有验证实际上是 bankofamerica.com。这意味着，美国银行，购买时，他们所谓的SSL 证书，基本上大的随机，有些随机的数字实现为他们的安全，他们一直由一些独立的第三方验证一方说，没错。这实际上是银行的CEO 美国试图以购买凭证。 Chrome会因此相信，权威认证和发言权绿色，这是bankofamerica.com的。美国银行（Bank of America）支付几百元或几一千，而不是一个几块到几十块钱。但在这里，你们有多少人曾经乖巧的任何不同，因为您的浏览器中的URL 绿色，而不是黑色？对吗？所以，我们一对夫妇。这是很好的偏执。但即便如此，那些你们谁更注意到这些东西，你实际上做停止记录到其他安全 URL的网站，如果不是绿色的？所有权利，所以大概不会，对不对？至少大多数人来说，如果它是不是绿色的，最有可能你只是去要像什么。喜欢，我想登录到这个网站。这就是为什么我在这里。我要登录尽管如此。顺便说一句，Chrome是一个小更好地了解。但是有很多的浏览器，如举例来说，至少在的Firefox 一段时间后，该挂锁图标，实际上你可以把任何您自己的图标。让我看看最新版本火狐的模样。因此，如果我们到CS50.net。确定，所以他们变得更好。什么使用的浏览器做的是喜欢的，例如[？ SAAS的？] 这里翻涌。这就是所谓的喜欢的一个网站的图标。年前 - 其实不是很久以前 - 那个小盾本来是正确的这里的URL旁边。因为一些天才决定只是看起来很优雅您的图形标志权您的网址旁边。设计方面，实际上是相当有吸引力。那么，是什么坏人开始在做什么？他们开始改变自己喜爱的图标，或者为它们的默认图标主页是不是一个波峰但一个挂锁，其中有绝对没有任何意义。除了自己喜爱的图标挂锁均无适应症的安全性。所以这里的教训我认为一对夫妇。其中之一是，其实也有一些用心良苦机制教导我们有关安全性的用户甚至如果你甚至不知道什么绿色意味着什么，甚至HTTPS意味着。但是，如果这些机制让我们信任网站的坏习惯当我们看到这些积极的信号，他们很容易被滥用，正如我们所看到刚才的东西这样傻。因此，会话劫持进入玩，正像我们前面说过，与饼干比如。这是什么究竟是什么意思呢？好吧这是所有与会话劫持偷别人的饼干。所以，如果我打开Chrome浏览器在这里，例如，我打开督察这里我去 “网络”选项卡 - 我们已经这样做过 - 和我一起去的东西一样 http://facebook.com Enter键，整体一堆东西在屏幕上因为所有的图像和CSS JavaScript文件。但是，如果我期待在这一个在这里通知 Facebook是确实植树或多个Cookie对我浏览器就在这里。因此，这些本质上的手那代表我的邮票。现在希望我的浏览器将目前这一遍又一遍时，重访该网站。但是，这不仅是安全的，我们说了几个星期前，如果你使用SSL。但是，即使SSL本身会受到影响。考虑之后一路SSL作品。当您的浏览器连接到远程服务器使用https://，长话短说，密码学是参与。这不是简单的凯撒 VISIONAIRE，甚至DES，DES的从而早在pset2。这是比这更复杂的。这就是所谓的公共密钥加密。但真正的大和真正的随机数字用于加扰信息点之间，你，和B点，如facebook.com。但问题是，我们有多少人再次曾经类型是https://开始我们的网站连接在该安全模式？我的意思是，你们有多少人甚至类型http://facebook.com？好吧，如果你这样做，喜欢，你好。你不必这样做了，对不对？浏览器会看着办吧。但我们大多数人的确只需键入facebook.com。因为，如果我们使用一个浏览器，浏览器已经变得足够聪明 2013的假设，如果您使用的是浏览器，输入一个地址，你可能要访问它不通过电子邮件或即时消息。你的意思是HTTP和端口80。这些公约已被采纳。但如何重定向工作？好吧，看到这里发生了什么。如果我回去铬 - 让我们做这在隐身我的方式，即所有饼干都扔掉。让我去这里，再次，facebook.com。让我们看看会发生什么。回想一下，第一个请求确实只是facebook.com。但是，什么是我的回应呢？这是不是一个200 OK。而300，或301，这是一个重定向告诉我去 http://www.facebook.com，这是 Facebook希望我去的。不过，如果我们看看下一个请求，这之前，我们已经看到，请注意他们的第二个反应是什么。具体来说，他们希望我现在去SSL版本的Facebook。因此，这里是一个机会。这是一个奇妙的有用的功能只是Web和HTTP。如果最终用户希望我像Facebook 留在他们的安全版本网站，太好了。他们将重定向我自己。所以，我不必甚至想想吧，但是，如果A和B点之间，你和Facebook之间，有一些坏家伙，有一些系统管理员在哈佛人的好奇看你的朋友是谁。或者有一些 - 年前，这听起来很疯狂 - 但有一些政府机构，如谁是真正感兴趣的NSA 你和谁在Facebook上戳。机会在哪里？嘛，所以只要有人有足够的技术悟性和他们有机会您的实际通过Wi-Fi网络或一些物理线路，他们什么可以做呢？好吧，如果他们是在同一网络上你和他们有所了解 TCP / IP和IP地址和DNS以及如何这样的作品，如果那个男人夹在中间，如果那个国家安全局，不管它可能是，但如果该实体的简单更快速地回应比Facebook 您的HTTP请求，并说，哦，我Facebook上。来吧，这里的 HTML facebook.com。电脑是相当不错的快。所以，你可以写上运行的程序像nsa.gov服务器，当它听到你的要求 facebook.com，非常迅速的背后场景得到真实facebook.com制作一个完美的吗？去年秋季？]安全国家安全局之间的SSL连接之间脸谱，得到的HTML非常安全登录页面，然后 NSA服务器响应 facebook.com的登录页。现在你们有多少人甚至会注意到你通过HTTP使用Facebook 在这一点上，因为你无意间连上到nsa.gov和不是Facebook？的URL不会改变。所有这一切都完成幕后。但我们大多数人，包括我自己在内，可能不会注意到这样的一个小细节。所以，你可能有一个完全可行你和你之间的连接认为是Facebook的，但有一个所谓的中间人。这是男人的总称让你有一些中间人攻击你和B点之间的实体以某种方式操纵，偷盗，或看着你的数据。因此，即使SSL是不是万无一失的，特别是如果你已经被骗到不打开它，因为这些基础机制实际工作。所以今天一个教训是，如果你太真的想成为偏执 - 而即使在这里出现的威胁 - 你真的应该开始进入在打字的习惯https://www 无论你的域名真正关心。一边也有又一威胁把会话劫持。很多时候，当你第一次访问如facebook.com网站，除非服务器已配置说，它把你那手邮票昨天应该是安全的，你浏览器可能会非常好，后访问之类的东西facebook.com google.com，twitter.com，你的的浏览器可能会呈现，邮戳打了下来，说，没有。使用SSL。但为时已晚，在这一点上。如果您已经寄给你的手邮票，饼干，明确没有SSL，你有第二次分裂有人漏洞嗅探您的流量，无论是室友或国家安全局（NSA），然后可以使用相同的cookie，并有点技术娴熟，目前，作为他或她自己。另一次攻击，你可能会没有想过。这是真的对你，如果你搞砸这在写一些网站，以某种方式使用SQL。所以在这里，举例来说，是一个屏幕拍摄哈佛的登录。这是一个普遍的例子大一些的用户名和密码。超级常见。因此，让我们假设SSL存在有没有人在中间或类似的事情。现在，我们正专注于服务器的你可能会写的代码。好吧，当我输入用户名和密码，假设密码服务 PHP实现。你可能有一些代码这样该服务器上。获取用户名后超全球和密码，然后如果他们使用一些pset7像代码是一个查询功能可能做到这一点。从用户选择星用户名等于和密码等于。这看起来，乍一看，完全合理的。这在语法上是有效的PHP代码。从逻辑上讲，没有什么错。想必有一些更多的线实际上做一些与结果回来从数据库中。但是，这是脆弱的其理由如下。公告称，像一个好公民，我已经把报价单报价，用户名。我把单引号密码。这是一个很好的事情，因为他们是不应该是数字。通常情况下，他们将是文字。所以我引述他们像琴弦。如果我现在，如果进一步推进 - 我删除了子弹从暂时PIN服务 - 如果我尝试登录为总统[？ scroob？] 但我要求我的密码 12345'或'1'= '1，并通知我没有做什么。我没有关闭其他单引号。因为我非常尖锐这里的坏家伙。我假设他们是你不是很好用您的 PHP和MySQL的代码。我猜，你不检查引号的存在。所以刚刚发生了什么，当你用户已键入该字符串，你要查询创建看起来是这样的。长话短说，如果你和共同的东西或你的东西在一起，这是怎么回事返回一个排从数据库。因为它总是在一个1等于1的情况下。只是因为你没有预料到你的用户，好还是坏，可能在他们的名字中有一个撇号你已经创建了一个SQL查询，仍然有效的，并且将返回现在更多的结果比你意。所以现在这个坏家伙有潜在的登录到你的服务器因为你的数据库返回行即使他或她有没有什么想法 [？ Scroob？]实际密码。哦，我意识到一个错字这里。我应该说密码等于像以前的12345 例如或1等于1。我会解决这个网上。那么我们为什么你使用的查询功能与问号？查询功能的事情之一为你做的是它确保当你通过后的参数逗号在这里像这样的查询这实际上发送到数据库看起来是这样的。很多丑陋来看待，但回已经自动斜线插入精确，以避免注入攻击，我发现一个刚才。现在一个有趣的XKCD，我想我会拉在这里，希望现在应该是一个多一点理解这是一个在这里。一点点？也许我们需要多一点讨论的。因此，这是暗指一个小孩子名为鲍比谁莫名其妙地采取这仅仅是一个网站的优势相信用户已键入是不是，事实上，SQL代码，但实际上是一个字符串。现在你可能还记得，下降 - 你可能已经看到了这一点 - 滴手段删除表，删除一个数据库。所以，如果你本质要求你的名字是罗伯特“; droptabl estudentsomething] 你很可能欺骗数据库只进不出检查你的确罗伯特，但分号也进行删除表。因此，SQL注入攻击可以实际上是因为这威胁让你可以删除别人的数据，您可以选择更多的景致比意，您可以插入或更新数据。实际上，你可以看到这个后，在家里演习，并非针对恶意目的只是为了教学，随时提示您登录到网站，特别是某种非甚众，非常受欢迎的网站，尝试登录，如约翰·奥赖利或有人用他们的名字APOSTROPHE。或者字面上只是键入撇号，敲回车，看看会发生什么。常常，可悲的是，人们没有消毒，其输入和确保引号之类的东西或分号逃脱。这就是为什么我们给pset7 此查询功能。但不要下正是欣赏它为你做什么。所以说，享受使用的网络这个星期。我们会看到你在星期一。在下一CD50。 [MUSIC]