David J. Malan Dit is CS50, en dit is die begin van die week 10. Jy kan onthou dat ons het getoon op die skerm 'n 3D drukker, wat is hierdie toestel wat neem rolle van plastiek en dan extrudes dit deur die verhitting van dit en smelt dit sodat ons kan dan Chang se leër van vorm olifante, byvoorbeeld. 

So op Leverett House, egter onlangs, het ek gesels met een van jou klasmaats en 'n vriend van Chang se naam Michelle, wat eintlik geïnterneer by hierdie ander maatskappy die afgelope jaar wat het 'n ander tegniek eintlik skep driedimensionele voorwerpe, soos hierdie klein bietjie olifant hier. In die besonder, die manier waarop dit werk is dat dit 'n voorbeeld van iets genoem stereolithography, waardeur daar is hierdie bekken van harpuis of vloeistof, en dan 'n laser stakings wat vloeistof, en geleidelik, die toestel hysbakke en hysbakke en lig die ding dat jy die druk, soos 'n olifant, as dat vloeibare word solied. En die resultaat, eintlik, is iets wat veel meer robuuste as sommige van die plastiek geskenke sommige van julle sou gehad het. 

En wat Chang vriendelik vir ons gedoen het was hier het 'n tydsverloop met behulp van foto's oor die verloop van 'n uur of meer, waarskynlik, hierdie man hier produseer. Sou iemand wat nog nooit voor gekom graag kom getref Begin op hierdie video? Laat my gaan met, hoe daar. Kom op. Alle regte. En jy is nie? Lukas My naam se Lukas [onhoorbaar]. David J. Malan Hi, Lukas. Nice om jou te ontmoet. 

Lukas Nice om jou te ontmoet. Publiek: Hy hardloop vir UC. 

David J. Malan ek weet, ons probeer om nie te bevorder. Alle reg, sodat Lukas, al jy het om te doen hier in CS50 getref die space bar hierdie olifant te druk. [Video speel] - [MACHINE woer] - [CRASH] - [Boom] - [CRASH] [Einde video speel] David J. Malan So dit is presies wat dit is soos om 3D druk. En hier is jou olifant. Dankie vir vrywilligers. Alle regte. So weer, volgens die spesifikasie vir die finale projek, die hardeware wat beskikbaar vir julle is, vir een of ander rede, projek het 'n paar kruising van sagteware en hardeware, besef dat hierdie is nou hulpbronne. 

Ek wou 'n oomblik te neem om aan te raak op 'n Crimson artikel wat kom uit laat verlede nag, wat was om te kondig dat hierdie man hier, David Johnson, wat al die senior leermeester vir Ec 10 vir 'n geruime tyd, verlaat Harvard by die einde van die akademiese jaar. En ek het net wou neem 'n oomblik, eerlik, David bedank in die voorkant van CS50. Hy was 'n mentor van vorme aan ons oor die jare. 

En ek voel soos ons, CS50, het eerder grootgeword met die EG 10 hier, want hulle is reg voor ons. En hy en die hele span in Ec 10 het was wonderlik genadig, eerlik, as ons sleep in al ons toerusting elke week, en jare gelede, verskaf 'n groot deel van raad as ons was nuuskierig hoe hulle te werk Ec 10. So ons dank en bewondering vir Dawid Johnson. 

[Applous] 

Nou, unrelatedly, so die einde is inderdaad naby. Ons is hier in week 10. En ons het net net 'n het paar formele weke hier in die klas verlaat, gevolg deur 'n paar van die gebeure. So te gee jou 'n gevoel van wat op die horison, hier is ons vandag. 

Hierdie Woensdag, onthou, ons sal 'n gaslesing het deur niemand anders as Microsoft se eie Steve Ballmer. As jy nog nie weg te cs50.harvard.edu/register, doen, aangesien ruimte beperk word. En hulle sal beheer word ID's by die deur die dag. As jy nog nie hier verlede week, het ek gedink ek wil terg jou met 'n ander kyk Steve en die opwinding wat ons wag op Woensdag. 

[Video speel] 

-Passion. 

-We're Gaan hardcore-- hardcore te wees. 

-Innovator. 

-Bill Gesê, jy dit nie kry nie. Ons gaan 'n plaas rekenaar op elke lessenaar en in elke huis, wat het geword die leuse van die maatskappy. Ek sweer, Bill uitgevind dit daardie aand regtig gee my sommige van die visie van Hoekom moet ek sê ja. Ek het nog nooit weer teruggekyk nie, regtig, na daardie. 

-Fresh Uit die kollege, het hy by 'n jong begin en het gehelp om dit te groei tot een van Amerika se mees suksesvolle besighede ooit. Die lewe van en besigheid lesse geleer langs die pad laat hom terug na sy kinderjare passie en liefde. En daardie ervarings voorberei hom vir sy volgende uitdaging in die lewe. 

-Nothing Kry in ons way-- boom! Hou kom hardcore! Gaan Clippers! 

-Dit Is Steve Ballmer, "In my eie woorde." [Einde video speel] David J. Malan --this Woensdag CS50. Kop weer na hierdie URL hier. Soos vir wat anders is op die horison, volgende week, geen lesing op Maandag. Maar ons sal volg dat deur vasvra een op Woensdag. Gaan na CS50 se tuisblad vir meer inligting op mense, plekke en tye vir al die verskillende proctoring logistiek en dies meer, sowel as oor die hersiening sessies wat komende. En dan, laastens, op Maandag, die dag voor die week van Thanksgiving breek, besef dit sal ons finale lesing wees. Ons sal koek en 'n groot dien deel van die opwinding, ons hoop. 

Nou, 'n paar van die ander updates. Hou in gedagte dat die status verslag, wat eintlik maar net bedoel om 'n toevallige interaksie te wees met jou TF te trots sê net hoe ver saam met jou finale projek jy is, of ten minste as 'n gesonde verstand seker te maak dat jy moet word nader dat wys kort daarna. Die Hackathon volg dan. Besef dat die Hackathon is nie 'n geleentheid om jou finale projek te begin, maar is bedoel om 'n geleentheid te wees te wees in die middel van of na die einde van jou finale projek met die implementering gevolg van 'n paar dae later, gevolg deur die CS50 regverdig. 

Nou, CS50 se produksie span, 'n paar jaar gelede, saam 'n teaser vir die CS50 regverdig dat ons gedink ons ​​wil jou wys vandag want hulle het hard aan die werk op 'n prequel vir wat, 'n nuwe video wat ons vandag sal afsluit met. Maar hier is wat jy wag vir vanjaar se CS50 regverdig. [Video speel] - [SELFOON lui] [MUSIEK "tema uit Mission: Impossible"] [Einde video speel] David J. Malan So dit is presies hoe sluit ons finale projek voorleggings. 'N Paar nou teasers-- indien jy wil Nick hier aansluit vir middagete, soos gewoonlik, hierdie Vrydag, kop na hierdie URL hier. Verder, as jy wil Nick of hierdie Nick aan te sluit of hierdie Allison of enige lede van CS50 se span, besef dat, kort ná kwartaal se einde, CS50 reeds werwing vir volgende jaar se span, vir geoktrooieerde rekenmeesters, TFS, ontwerpers, vervaardigers, navorsers en ander posisies wat hier bedryf CS50 beide in voor en agter die skerms. So as dit dalk van belang aan jou kop na hierdie URL hier. En studente meer gemaklik, minder gemaklik, en iewers in tussen gelyk is almal welkom en aangemoedig om aansoek te doen. 

So dit was perfekte tydsberekening dat geen grap, vanoggend, toe ek wakker word, Ek het dit hier spam in my posbus. Dit is eintlik gegly deur Gmail se spam filter een of ander manier en beland in my werklike posbus. En dit sê, "Liewe posbus gebruiker, jy is op die oomblik opgegradeer tot 4 GB van die ruimte. Teken in jou rekening ten einde E-ruimte te bevestig. " 

En dan is daar hierdie mooi blou aanloklike skakel daar te klik op vir fakulteit en personeel, wat dan lei my om 'n wonderlike wettige bladsy, wat het my gevra om my naam te gee en e-pos adres, en natuurlik, wagwoord te bevestig wie ek is, en so meer. Maar natuurlik, soos altyd die geval is, jy kom op hierdie bestemming bladsy, En natuurlik, is daar ten minste een tikfout, wat blyk die spyker in te wees die doodskis van enige van hierdie swendelary. En ons sal plaas, miskien, 'n paar ander skakels na hierdie soort van die skerm skote in die toekoms. Maar hopelik, die meeste mense in hierdie kamer het clicked-- nie of selfs as jy gekliek so links as dit, jy het nie so ver gegaan as om te vul die vorms en so meer. In werklikheid, dit is OK as jy het. Ons sal probeer om vandag op te los, want, Trouens, vandag se gesprek is oor die veiligheid. 

En inderdaad, een van die doelwitte van CS50 is nie soveel jy CE te leer of PHP of JavaScript of SQL of enige van hierdie onderliggende implementering besonderhede. Maar dit is wat jy as mens te bemagtig net slimmer besluite as dit maak betrekking tot tegnologie af pad sodat, of jy 'n ingenieur of humanistiese of wetenskaplike of enige ander rol, jy maak ingeligte besluite oor jou eie rekenaar gebruik, of as jy in 'n posisie, besluitneming in die politiek, in die besonder, jy maak baie, veel beter besluite as 'n baie mense vandag is. En ons sal dit doen deur wyse van 'n paar voorbeelde. 

Eerstens, ek was nogal verbaas het onlangs die volgende te ontdek. So wagwoorde, natuurlik, is wat die meeste van ons gebruik om ons data-- e-pos te beskerm, gesels, en alle vorme van hulpbronne soos dit. En net deur 'n awkward-- nie wys van hande, maar verleë lyk van skaamte, Hoeveel van julle gebruik dieselfde wagwoord in 'n baie verskillende webwerwe? 

O, OK, so ons sal die hande te doen. OK, so 'n baie wat jy doen. Enigiemand wat dit doen, net hoekom? En wat? Ja? Publiek: Dit is maklik om te onthou, want jy hoef nie te onthou [onhoorbaar]. David J. MALAN: Ja, dit is maklik om te onthou. Dit is 'n heel redelik, rasionele gedrag, selfs al is die risiko jy sit jouself op in hierdie gevalle is net een of meer van daardie webwerwe is kwesbaar vir inbraak of onseker of jou wagwoord is net so darn raaibare, enige iemand kan dit uit te vind. Nie net is een rekening gedrang nie, maar in teorie, enige rekeninge wat jy op die internet. So ek weet ek kan vandag sê, dit nie doen nie oral gebruik dieselfde wagwoord maar dit is 'n baie makliker gesê as gedaan. Maar daar is tegnieke vir versagtende dat veral kommerwekkend. 

Nou, ek gebeur, byvoorbeeld, te gebruik om 'n program genaamd 1Password. Nog 'n gewilde een LastPass genoem. En 'n klomp van die CS50 personeel gebruik een of meer van hierdie soort van gereedskap. En 'n lang storie kort, een afhaal vir vandag behoort te wees, ja, jy mag hê dieselfde wagwoord oral, maar dit is baie maklik om nie meer doen nie. Byvoorbeeld, hierdie dae, ek weet miskien een van my dekades of honderde van wagwoorde. Al my ander wagwoorde is pseudo-ewekansige gegenereer word deur een van hierdie programme hier. En in 'n neutedop, en selfs Alhoewel die meeste van hierdie programme geneig is om te kom met 'n bietjie van 'n koste, sou jy 'n program installeer soos hierdie, jy sal dan slaan al jou gebruikers name en wagwoorde binnekant van hierdie program op jou eie Mac of PC of iets anders, en dan sal dit wees geïnkripteer op jou rekenaar met wat hopelik 'n veral lang wagwoord. So ek het 'n hele klomp van die wagwoorde vir individuele webwerwe, en dan het ek 'n baie lang wagwoord wat ek gebruik al te ontsluit die ander wagwoorde. En wat is lekker oor sagteware soos dit is dat, wanneer jy 'n webtuiste besoek wat vra vir jou gebruikersnaam en wagwoord, hierdie dae, ek tik nie in my gebruikersnaam en wagwoord omdat, weereens, ek weet nie eens wat die meeste van my wagwoorde is. Ek plaas druk 'n klawerbord kortpad, is die resultaat van wat is hierdie sagteware te aktiveer te gevra my vir my meester wagwoord. Tik ek dan dat 'n mens 'n groot wagwoord in, en dan die leser outomaties vul wat my wagwoord is. So waarlik, as jy niks anders weg van vandag in terme van wagwoorde, Dit is sagteware wat is die moeite werd laai of te belê in so dat jy kan ten minste break daardie spesifieke gewoonte. En as jy die tipe wat is gebruik van Post-it notas of die like-- en die kans is ten minste een van jou is-- dat die gewoonte, ook om te sê, verbreek mag word nie. 

Nou, ek gebeur om te ontdek, as 'n gevolg van die gebruik van die sagteware, die volgende. Ek bestel 'n eetbare reëling, hierdie mandjie vrugte, het onlangs. En ek getref my spesiale sleutelbord kortpad aan te meld by die webwerf. En die sagteware gelei tot 'n pop-up wat gesê het, is jy seker jy wil hê ek moet outomaties indien hierdie gebruikersnaam en wagwoord vergeet? Omdat die verband is onseker. 

Die verbinding is nie gebruik van HTTPS, vir 'n veilige, met behulp van die protokol bekend as SSL, Secure Sockets Layer. En inderdaad, as jy kyk na die top links van hierdie webwerf, dit is net www.ediblearrangements.com, geen HTTPS, wat nie so goed nie. 

Nou, ek was curious-- miskien is net 'n fout in die sagteware. Sekerlik, 'n paar webwerf soos hierdie dat baie van ons weet van ten minste die gebruik van enkripsie of HTTPS URL's wat jy aan te meld. So ek het 'n bietjie nuuskierig vanoggend. En ek het uit my CS50 vaardighede, Ek oopgemaak Chrome insp. Dit is nie eens veel van 'n vaardigheid. Dit is net druk op die regte sleutelbord kortpad hierdie oop te maak. En hier is 'n groot venster van Chrome se inspekteur. 

Maar wat was eintlik 'n bietjie tragies en belaglik was hierdie twee lyne hier. By die top, kennis van die URL te wat my gebruikersnaam en wagwoord ingedien is. Laat my zoom in. Dit was hierdie hier. En dit alles is soort van vervelige, behalwe vir die ding al die pad aan links, wat met http begin: //. En so is daar dan, OK, miskien hulle is net stuur my gebruikersnaam, wat nie so 'n groot deal. Miskien het my wagwoord kry later gestuur. Dit sou soort van 'n wees interessante ontwerp besluit. 

Maar nope. As jy dan kyk na die versoek loonvrag, die gebruikersnaam en wagwoord Ek sent-- en ek bespot hierdie vir die slide-- was eintlik gestuur in die helder. So jy gaan na hierdie spesifieke webwerf en bestel 'n eetbare reëling soos hierdie, en inderdaad, glo, vir al hierdie tyd Ek het al die bestel van hulle, Het jy jou gebruikersnaam en wagwoord is oor te gaan in die helder. So eerlik, dit is heeltemal onaanvaarbaar. En dit is so triviale dinge te vermy soos hierdie as die ontwerper van 'n webwerf en as die programmeerder van 'n webwerf. 

Maar die afhaal hier vir ons as gebruikers van webtuistes is net dat alle waardeer dit neem is een dom ontwerp besluit, onregverdigbare ontwerp besluit, sodat nou, as jy weet my wagwoord "Bloedrooi" op hierdie webwerf, jy het waarskynlik net in 'n hele klomp van die ander webtuistes wat ek nou het. En daar is nie veel van ' 'n verdediging teen daardie anders as wat Chang het vanoggend. Hy het na eetbare Reëlings, wat is geleë in die straat af in Cambridge, en fisies hierdie gekoop vir ons. Dit was baie meer veilig as die gebruik van die webwerf in hierdie geval. 

Maar die detail om 'n ogie te hou vir is eintlik wat in die leser tot bo daar. Maar selfs dit kan wees om 'n bietjie misleidend. So nog 'n interessante voorbeeld en manier van verdediging teen this-- en eintlik, laat ons dat first-- die weg van die verdedigende teen hierdie is 'n tegniek dat die sekuriteit mense noem twee-faktor verifikasie. 

Is daar iemand weet wat die oplossing probleme soos hierdie beteken? Wat is twee-faktor verifikasie? Of ander manier, hoe baie van julle is wat dit gebruik? OK, so 'n paar van skaam mense. Maar ja. Ek sien jou hand gaan. Wat is twee-faktor verifikasie? 

Publiek: Eintlik, benewens te tik in jou wagwoord jy het ook 'n sekondêre [onhoorbaar] via SMS-boodskap gestuur na jou selfoon by die [onhoorbaar]. David J. Malan Presies. In bykomend tot 'n primêre vorm van verifikasie, soos 'n wagwoord, jy het gevra vir 'n sekondêre faktor, wat gewoonlik iets wat jy het fisies op jou, al is dit kan iets heeltemal anders wees. En dat die ding is tipies 'n Selfoon hierdie dae wat jy het 'n tydelike SMS-boodskap wat sê "Tydelike pass kode is 12345." 

So bo en behalwe my wagwoord "bloedrooi" Ek het ook het om te tik in watter die webwerf het my SMS. Of as jy dit met 'n bank of 'n belegging rekening, jy soms hierdie bietjie dongles wat eintlik 'n pseudo-ewekansige aantal kragopwekker gebou in hulle, maar beide die toestel en die bank weet wat jou eerste saad is sodat hulle weet, selfs as die bietjie-kode op jou klein sleutel FOB optogte voor elke minuut of twee, die verandering van waardes, so ook wat waarde verandering op die bank se bediener sodat hulle insgelyks kan kontroleer jy nie net met jou wagwoord, Maar met die tydelike kode. Nou, kan jy eintlik doen in Google. En eerlik, dit is 'n goeie gewoonte om te kry in, veral as jy gebruik Gmail al die tyd op 'n leser. As jy na hierdie URL hier, wat in die skyfies aanlyn vir vandag, en dan Klik op 2-stap-verifikasie dieselfde werklike ding daar. Jy sal gevra word om te gee hulle jou selfoonnommer. En dan, enige tyd wat jy teken in Gmail, sal jy nie net gevra word vir jou wagwoord nie, maar ook vir 'n bietjie kode wat gestuur kry op jou selfoon tydelik. En so lank as wat jy het om koekies in staat gestel, en so lank as wat jy doen nie uitdruklik teken nie, sal jy net om dit te doen een keer in 'n rukkie, soos wanneer jy sit op 'n nuwe rekenaar. 

En die onderstebo ook hier is, as jy sit op 'n internet kafee styl rekenaar of net 'n vriend se rekenaar, selfs As daardie vriend kwaadwillig of onwetend het 'n paar sleutelbord logger op sy of haar rekenaar geïnstalleer is, sodanig dat alles wat jy tipe word aangemeld, ten minste dat die tweede faktor, wat tydelike kode, is kortstondig. Sodat hy of sy of wie is gedrang die rekenaar kan nie teken in jy daarna, selfs as alles anders was kwesbaar of selfs ongeënkripteerde heeltemal. Facebook het dit ook, met die URL hier waar jy kan kliek op Teken goedkeurings. So ook hier, as jy dit nie doen nie wil vriende mense te steek, jy wil nie te wees skeer op Facebook of plaas status updates vir jou, twee-faktor verifikasie hier is waarskynlik 'n goeie ding. En dan is daar hierdie ander tegniek geheel en al, net ouditering, wat selfs 'n goeie ding vir ons mense, As twee-faktor bewys irriterende, wat weliswaar, kan dit, of is dit net nie beskikbaar op sommige webwerf, minimaal hou 'n oog op die as en wanneer jy aan te meld by plekke, as hulle toelaat dat jy is 'n goeie tegniek, ook. So Facebook gee jou ook hierdie Teken kennisgewings funksie, waardeur altyd Facebook besef, hm, David het geteken van 'n rekenaar of selfoon dat ons nog nooit gesien nie uit 'n IP-adres wat onbekende lyk, hulle sal ten minste 'n stuur e-pos aan watter e-pos adres jy op die lêer, en gesê: beteken dit verdag lyk? As dit so is, verander onmiddellik jou wagwoord. En so is daar ook, net ouditering gedrag selfs nadat jy gedrang kom, kan ten minste die venster verklein tydens wat jy kwesbaar is. 

Alle reg, enige vrae op daardie dinge wat tot dusver? Vandag is die dag al te kry jou paranoia bevestig of ontken. Dit is meestal bevestig, ongelukkig. Ja? 

Publiek: [onhoorbaar] selfoon, Wat as jou selfoon breek, en dan is dit altyd moeilik om te verify-- 

David J. Malan Waar. 

Publiek: Of as jy in 'n ander land, en hulle laat nie teken omdat [onhoorbaar]. David J. Malan Beslis. En so dit is die addisionele koste wat jy aangaan. Daar is altyd hierdie tema van 'n trade-off, na alles. En dan, as jy jou selfoon verloor, As dit breek, as jy in die buiteland, of jy net nie 'n sein, soos 'n 3G of LTE sein, jy mag nie eintlik in staat wees om te kontroleer. 

So weer, hierdie twee is trade-offs. En soms, kan dit 'n baie werk vir jou as 'n resultaat. Maar dit hang af, dan, op wat die verwagte prys vir jou is van iets wese gedrang heeltemal. 

So SSL, dan is hierdie tegniek wat ons almal oor die algemeen as vanselfsprekend aanvaar of aanvaar is daar, selfs al dit is duidelik nie die geval nie. En jy kan nog steeds mislei mense, al is, selfs met hierdie. So hier is 'n voorbeeld van 'n bank. 

Dit is die Bank van Amerika. Daar is 'n hele klomp van hierdie in Harvard Square en daarna. En agterkom dat, by die top van die skerm, daar is 'n, wel, HTTPS. En dit is selfs groen en uitgelig vir ons om aan te dui dat dit inderdaad 'n wettig veilige webwerf, of so het ons opgelei is om te glo nie. 

Nou, behalwe dat, al is, agterkom dat, as ons zoom in, daar is hierdie ding hier, waar jy gevra om aan te meld. Wat beteken hierdie slot beteken reg daar langs my gebruikersnaam gevra? Dit is redelik algemeen op webtuistes ook. Wat beteken hierdie slot beteken? Jy lyk soos jy weet. 

Publiek: Dit beteken niks. 

David J. Malan Dit beteken niks. Dit beteken dat die Bank van Amerika weet hoe HTML met die beeld tags, reg om te skryf? Dit beteken werklik niks nie, want selfs Ons, die gebruik van die eerste dag van ons kyk op HTML, kan kode op 'n bladsy met 'n rooi agtergrond en 'n beeld, soos 'n GIF of iets anders, wat gebeur om te lyk soos 'n slot. En tog, dit is super algemeen in webtuistes, want ons het is opgelei om te aanvaar dat, o, slot beteken veilige, wanneer dit regtig net beteken dat jy weet HTML. 

Byvoorbeeld, terug in die dag, ek kon het net sit dit op my webwerf, beweer dat dit is veilig, en vra, effektief, vir mense se name en wagwoorde. So soek in die URL is ten minste 'n beter idee, want dit is gebou in Chrome of wat ook al die leser wat jy gebruik. Maar selfs dan, soms dinge kan verkeerd gaan. En in die feit, kan jy nie altyd sien HTTPS, laat staan ​​in die groen. 

Het enige van julle al ooit gesien 'n skerm soos hierdie? Jy mag hê, eintlik, vroeër in Oktober, wanneer ek vergeet het om te betaal vir ons SSL sertifikaat, soos dit genoem word, en ons is op soek na ' dit vir 'n uur of twee. So jy het waarskynlik dinge gesien soos hierdie, met 'n staking-deur, soos 'n rooi lyn deur die protokol in die URL of 'n soort van die skerm wat ten minste julle vermaan om te probeer om verder te gaan. En Google hier nooi jy om terug te gaan na veiligheid. 

Nou, in hierdie geval, dit net beteken dat die SSL sertifikaat wat ons gebruik het, die groot, wiskundig nuttige nommers wat geassosieer word met CS50 se bediener was nie meer geldig is nie. En in die feit, kan ons boots dit, soos jy kan op jou laptop. As ek gaan in Chrome hier en laat ons gaan na facebook.com, en dit lyk soos dit is veilig. Maar laat my gaan voort en nou Klik op die slot hier. 

En laat my gaan na Connection, Sertifikaat inligting. En inderdaad, wat jy sal sien hier is 'n klomp van laer vlak besonderhede oor wat facebook.com werklik is. Dit blyk dat hulle geld betaal het om 'n maatskappy genaamd miskien DigiCity Cert High Versekering dat belowe het die res van die wêreld te vertel dat indien 'n leser ooit sien 'n certificate-- jy kan dink dit letterlik as 'n sertifikaat wat lyk soos wat irriterende ding op die top left-- dan facebook.com is wat hulle sê hulle is, want al hierdie tyd, wanneer jy 'n webtuiste besoek, soos cs50.harvard.edu of facebook.com of gmail.com wat gebruik HTTPS URL, agter die skerms, daar is hierdie soort van transaksie outomaties gebeur vir jou, waardeur facebook.com, in hierdie geval, stuur aan jou leser om sy sogenaamde SSL sertifikaat, of liewer, sy openbare sleutel, en dan jou leser word met behulp van die publieke sleutel om daarna te stuur geïnkripteer verkeer na en van dit. 

Maar daar is hierdie hele hiërargie in die wêreld van die maatskappye dat jy betaal om geld te wat sal dan getuig, in 'n digitale sin, dat jy inderdaad facebook.com of jou bediener is inderdaad cs50.harvard.edu. En gebou in implementeer, soos Chrome en Internet Explorer en Firefox, is 'n lys van al daardie sogenaamde sertifikaat owerhede wat gemagtig is deur Microsoft en Google en Mozilla om te bevestig of ontken dat facebook.com is wat dit sê dit is. Maar die catch is dat hierdie dinge nie verstryk. In werklikheid, Facebook se lyk dit verstryk volgende Oktober, in 2015. 

So kan ons eintlik simuleer hierdie as ek gaan in my Mac vir my 'Stelsel Voorkeure en ek gaan in Datum en tyd, en Ek gaan in Datum en tyd hier, en ek ontsluit hierdie here-- gelukkig, Ons het nie hierdie time-- 'n wagwoord openbaar en nou kan ek gaan af hierdie ongedaan te maak. En laat ons actually-- oops, dis nie so interessant as om dit te doen. Ons is letterlik in die toekoms nou, wat beteken dit is wat 2020 is soos. As ek herlaai nou die page-- Kom ons doen dit in Ingognito mode-- as ek herlaai die bladsy, daar gaan ons. 

So nou, my rekenaar dink dit is 2020, maar my leser weet dat hierdie sertifikaat uit Facebook verstryk, natuurlik, in 2015. So dit gee my rooi boodskap. Nou, gelukkig, implementeer soos Chrome het eintlik het dit baie moeilik om te voortgaan nietemin. Hulle het my wel wil terug te keer na die veiligheid gaan. 

As ek op hier op Advance, dit is gaan vir my vertel 'n paar meer besonderhede. En as ek wil regtig om voort te gaan, sal hulle laat my gaan na facebook.com, wat is, weer, onveilige, op watter punt Ek sal Facebook se tuisblad sien, soos hierdie. Maar dan ander dinge lyk breaking wees. Wat is waarskynlik breek op hierdie punt? Publiek: JavaScript. David J. Malan Soos die Java en / of CSS lêers is insgelyks ondervind dat fout. So dit is net 'n slegte situasie algehele. Maar die punt hier is dat ten minste Facebook inderdaad 'SSL enabled vir hul bedieners, soos baie webwerwe, doen, maar nie noodwendig nie. 

Maar dit is nie alleen die afhaal hier. Blyk dat selfs SSL het getoon te onseker of ander manier wees. So ek soort van hinting dat SSL, goed. Kyk vir HTTPS URL's, en die lewe is goed, want al jou HTTP verkeer en kop-en inhoud word geïnkripteer. 

Niemand kan dit onderskep in die middel, behalwe vir 'n sogenaamde man in die middel. Dit is 'n algemene tegniek in die wêreld van die sekuriteit bekend as 'n mens-in-die-middel aanval. Veronderstel dat jy hierdie klein laptop hier aan die linkerkant, en veronderstel jy probeer om te besoek 'n bediener daar aan die regterkant, soos facebook.com. 

Maar veronderstel dat, in tussen jou en Facebook, is 'n hele klomp van die ander bedieners en toerusting soos skakelaars en roeteerders, DNS-bedieners, DHCP-bedieners, niemand van ons beheer. Dit kan deur Starbucks beheer word of Harvard of Comcast of die wil. Wel, gestel dat iemand kwaadwillig, op jou netwerk, tussen jou en Facebook, in staat is om jou te vertel dat jy weet wat die IP adres van Facebook is nie wat jy dink dit is. Dit is hierdie IP plaas. 

En so jou leser om die bos gelei in die versoek verkeer uit 'n ander rekenaar heeltemal. Wel, gestel dat die rekenaar eenvoudig kyk na al van die verkeer wat jy versoek van Facebook en al die web bladsye dat jy die versoek van Facebook. En enige tyd wat dit sien in jou verkeer 'n URL wat met HTTPS begin, dit dinamies, op die vlieg, herskryf dit as HTTP. En enige tyd wat dit sien 'n plek kop, plek kolon, soos ons gebruik om te lei die gebruiker, wat ook kan deur hierdie man verander word in die middel van HTTPS HTTP. 

So selfs al is jy jouself mag dink jy is op die regte Facebook, dit is nie so moeilik om 'n teenstander met fisiese toegang om jou netwerk te eenvoudig terugkeer bladsye vir julle dat lyk soos Gmail, wat lyk soos Facebook, en inderdaad die URL is identies, want hulle is voorgee dat dieselfde gasheer naam te hê as gevolg van 'n paar uitbuiting van DNS of 'n ander stelsel soos dit. En die resultaat is dan dat ons mense dalk net besef dat, OK, dit lyk soos Gmail of ten minste die ouer weergawe, soos hierdie skyfie uit 'n ouer aanbieding. Maar dit lyk asof this-- http://www.google.com. 

So ook hier die werklikheid is dat hoeveel van julle, wanneer jy gaan na Facebook of Gmail of enige webwerf en jy weet 'n bietjie iets oor SSL, hoeveel van julle fisies tik https: // en dan die webwerf noem, Tik. Die meeste van ons tik, soos, CS50, druk Enter of F-A vir Facebook en druk Enter, en laat dit outomaties voltooi. Maar agter die skerms, indien jy kyk na jou HTTP verkeer, daar is waarskynlik 'n hele klomp van daardie plek kop wat u stuur van Facebook www.facebook.com te https://www.facebook.com. 

So dit is een of meer HTTP transaksies waar jou inligting is heeltemal gestuur in die helder, geen enkripsie hoegenaamd nie. Nou, kan dit nie so 'n groot hanteer as alles wat jy probeer om te doen is toegang tot die tuisblad, jy is nie stuur jou gebruikersnaam en wagwoord. Maar wat is dit onder die kap, veral vir PHP-gebaseerde webwerwe wat ook heen en weer wanneer gestuur jy na sommige webblad indien daardie webwerf gebruike, sê, PHP en implemente funksies soos pset7? Wat is heen en weer gestuur in jou HTTP-hoofde wat jy het toegang tot hierdie mooi nuttige super globale in PHP? 

Publiek: koekies. 

David J. Malan koekies, spesifiek die PHP sess ID koekie. So onthou, as ons gaan, sê, cs50.harvard.edu weer maar hierdie keer, laat maak die Netwerk blad, en nou, hier, laat ons letterlik net gaan te http://cs50.harvard.edu en dan druk Enter. En dan kyk na die skerm af hier. Let daarop dat ons wel het terug 'n 301 verhuis permanent boodskap, wat beteken dat daar is 'n plek kop hier wat nou redirecting my HTTPS. 

Maar die catch is dat, as ek reeds 'n koekie feitlik op my hand gestempel, Soos ons reeds bespreek, en Ek, die menslike soort onwetend net na die onseker weergawe, en my leser neem dit op sigself dat die hand stempel vir om te wys die eerste versoek, wat via HTTP, enige man in die middel, enige teenstander in die middel, kan teoreties net sien diegene HTTP-hoofde, net soos ons kyk na hulle hier. Dit is net sodra jy praat met 'n HTTPS URL nie dat die hand stempel self kry geïnkripteer, 'n la Caesar of Vigenere, maar met 'n liefhebber algoritme heeltemal. So ook hier, selfs al webwerwe gebruik HTTPS, ons mense is conditioning, danksy om motor-volledige en ander tegnieke, om nie eens te dink oor die potensiële implikasies. Nou, daar is maniere om hierdie. Byvoorbeeld, baie webtuistes kan ingestel word sodat, wanneer jy eers die hand stempel, kan jy die leser vertel, hierdie hand stempel is slegs vir SSL verbindings. Die leser moet nie teenwoordig dit vir my nie, tensy dit is oor SSL. Maar baie webwerwe nie moeite doen met dit. En baie webwerwe het glo nie eens die moeite met SSL op alle. 

So vir meer oor wat, daar is eintlik selfs meer vuil in hierdie aanbieding dat 'n mede-het 'n sogenaamde swart hoed konferensie 'n paar jaar gelede, waar daar is selfs 'n ander kwaadwillige truuks mense gebruik het. Jy kan dit onthou idee van 'n favicon, wat is soos 'n klein logo wat dikwels in 'n venster van die leser. Wel, wat was algemeen onder slegte ouens is fab ikone wat lyk soos wat om te maak nie? Publiek: [onhoorbaar]. David J. Malan weer sê? Publiek: Die webwerwe. David J. Malan nie 'n webwerf. So favicon, klein bietjie ikoon. Wat sou die mees wees kwaadwillige, manipulerende ding jy kan jou webwerf se standaard ikoon lyk? GEHOOR: 'n groen slot. David J. Malan Wat is dit? Publiek: 'n bietjie groen slot. David J. Malan Like 'n groen slot, presies. So kan jy hierdie estetiese van 'n klein groen slot, hinting aan die wêreld, o, ons beveilig, wanneer, weer, al beteken dit is dat jy weet dat sommige HTML. So sessie kaping verwys na presies dit. As jy iemand wat soort snuif die lug in die kamer hier of het fisiese toegang tot 'n netwerk en jou koekies kan sien, Hy of sy kan gryp wat PHP sess ID koekie. En dan, as hulle vaardig genoeg om te weet hoe dit koekie as hul eie te stuur hand stempel net deur die kopiëring van die waarde en die stuur van die HTTP-hoofde, Iemand kan baie maklik meld in enige van die Facebook rekeninge of Gmail rekeninge of Twitter rekeninge wat hier is, oop in die kamer, as jy nie die gebruik van SSL en indien die webtuiste is nie die gebruik van SSL korrek. 

So laat se oorgang na 'n ander een. So 'n ware verhaal. En dit net gebreek in die nuus van 'n week of twee gelede. Verizon is besig 'n baie verkeerde ding, en as die beste mense kan sê, sedert minstens 2012, waardeur, wanneer jy toegang tot webwerwe via 'n Verizon selfoon, alles vervaardiger dit is, hulle het vermetel was, Soos die storie gaan, spuit in al jou HTTP verkeer hul eie HTTP kop. En dat kop lyk soos this-- X-UIDH. UID is soos 'n unieke identifikasie of gebruiker ID. En X beteken net dit is 'n persoonlike kop wat nie standaard. 

Maar wat dit beteken is dat, as ek trek, byvoorbeeld, 'n webwerf op my selfoon here-- en ek gebruik Verizon as my carrier-- selfs al is my leser dalk nie word die stuur van hierdie HTTP kop, Verizon, so gou as die sein bereik hul selfoontoring iewers, het vir 'n geruime tyd te spuit hierdie header in al ons HTTP verkeer. Hoekom doen hulle dit? Vermoedelik vir die dop redes, vir advertensies redes. 

Maar die moronic ontwerp besluit hier is dat 'n HTTP kop, as julle weet van pset6, ontvang deur 'n web bediener wat jy versoek verkeer van. So al hierdie tyd, indien jy is 'n besoek Facebook of Gmail of enige webwerf wat nie gebruik SSL al die time-- en eintlik, die twee gelukkig nou do-- maar ander webtuistes wat nie al die tyd gebruik nie SSL, Verizon het in wese saai, geweld, 'n hand stempel op almal van ons hande wat selfs ons nie sien nie, maar eerder, die einde webtuistes doen. En so is dit nie dat moeilik vir enigiemand op die internet bestuur van 'n web bediener te besef, ooh, dit is David, of, ooh, dit is Davin, selfs al is ons streng oor die skoonmaak van ons koekies, want dit is nie uit onsself. Dit is afkomstig van die draer. 

Hulle doen 'n soek op jou telefoonnommer en dan sê, o, dit is David. Laat my spuit 'n unieke identifiseerder so dat ons adverteerders of wie kan hou van hierdie. So dit is eintlik baie, baie, baie sleg en skrikwekkend. En ek sal jou aanmoedig om neem 'n blik, byvoorbeeld, by hierdie skakel, wat ek moet ontken Ek het eintlik probeer om hierdie vanoggend. Ek het 'n bietjie script, sit dit op hierdie skakel, besoek dit met my eie Verizon selfoon na die draai Wi-Fi af. So jy het 'n Wi-Fi af te draai sodat jy gebruik 3G of LTE of die wil. En dan, as jy na hierdie URL, al hierdie script doen vir julle, as jy wil om te speel, is dit spoeg uit wat HTTP-hoofde jou selfoon stuur na ons bediener. En ek eintlik, in regverdigheid, het nie sien vanoggend, wat laat my dink óf die plaaslike selfoontoring Ek is verbind tot of iets anders is nie om dit te doen nie, of hulle het gerugsteun af om dit te doen tydelik. Maar vir meer inligting, aan die hoof van hierdie URL hier. 

En nou is dit te this-- komiese kan sin maak. Geen? OK. Alle regte. Wat gesterf het. Alle regte. 

So laat ons neem 'n blik op 'n paar van die meer aanvalle, al is dit net om bewustheid te verhoog en dan bied 'n paar moontlike oplossings sodat jy al hoe meer bewus. Hierdie een het ons gepraat oor die ander dag, maar het nie 'n naam gee. Dit is 'n kruis-site versoek vervalsing, wat is 'n uiters fancy manier om te sê jy flous 'n gebruiker in te klik op 'n URL soos hierdie, wat truuks hulle in 'n paar gedrag wat hulle het nie van plan is. 

In hierdie geval, dit lyk om te probeer om my te mislei in die verkoop van my aandele van Google. En dit sal slaag as Ek, die programmeerder van pset7, het nie gedoen wat? Of eerder, meer in die algemeen, in watter gevalle is ek kwesbaar vir 'n aanval As iemand truuks 'n ander gebruiker in kliek op 'n URL soos hierdie? Ja? 

Publiek: Jy kan onderskei nie tussen AOO en pos. 

David J. MALAN: Goed. As ons onderskei nie tussen AOO en pos, en inderdaad, as ons toelaat dat Kry verkoop dinge, Ons nooi hierdie soort aanval. Maar ons kan nog versag dit 'n bietjie. En ek het 'n opmerking, dink ek, verlede week dat Amazon ten minste probeer om dit te versag met 'n tegniek dit is redelik eenvoudig. Wat sou 'n slim ding om te doen op jou bediener, eerder as om net blindelings verkoop watter simbool om die gebruiker in? Publiek: Bevestiging van spesies? David J. Malan 'n bevestiging skerm, iets wat menslike interaksie sodat ek gedwing om te maak die uitspraak oproep, selfs al het ek naïef gekliek 'n skakel wat lyk soos hierdie en lei my na die sel skerm, by minste het my gevra om te bevestig of ontken nie. Maar dit is nie 'n ongewone aanval, veral in die sogenaamde phishing of spam-agtige aanvalle. 

Nou, hierdie een is 'n bietjie meer subtiel. Dit is 'n kruis-site scripting aanval. En dit gebeur as jou webwerf is nie die gebruik van die ekwivalent van htmlspecialchars. En dit is die neem van die gebruiker se toevoer en net blindelings spuit dit in 'n web bladsy, Soos met die gedrukte of eggo, with-- again-- uit roep iets soos htmlspecialchars. 

So dink die webwerf in vraag is vulnerable.com. En dink dit aanvaar 'n parameter genoem q. Kyk na wat kan gebeur As ek eintlik 'n slegte man, Tik of mislei 'n gebruiker in besoek van 'n URL wat lyk soos this-- q = oop script tag, gesluit script tag. En weer, ek veronderstelling dat vulnerable.com is nie gaan gevaarlik om te draai karakters soos oop hakies in HTML entiteite, die ampersand, L-T, kommapunt ding dat jy dalk gesien het voordat. 

Maar wat is die script of JavaScript kode Ek probeer 'n te mislei gebruiker in die uitvoering van? Wel, document.location verwys om my leser se huidige adres. So as ek dit doen document.location =, Dit laat my toe om die gebruiker te lei in JavaScript na 'n ander webwerf. Dit is soos ons PHP funksie lei nie, maar gedoen in JavaScript. 

Waar gaan ek probeer om die gebruiker te stuur? Wel, blykbaar, badguy.com/log.php, wat is 'n script, glo, die slegte ou geskryf het, wat neem 'n parameter genoem koekie. 

En kennis, wat doen ek blyk te wees concatenating op die einde van die gelyk aan teken? Wel, iets wat sê document.cookie. Ons het nie gepraat oor hierdie. Maar dit blyk, in JavaScript, net soos in PHP, kan jy toegang tot al die koekies dat jou leser is eintlik die gebruik. 

So het die effek van hierdie een reël van die kode, as 'n gebruiker is om die bos gelei in op hierdie skakel en die webwerf vulnerable.com nie ontsnap met htmlspecialchars, is dat jy net effektief foto van al jou koekies te log.php. En dit is nie altyd so problematies, behalwe as een van die koekies is jou sessie ID, jou sogenaamde hand stempel, wat beteken badguy.com sy of haar eie kan maak HTTP versoeke, stuur daardie selfde hand stempel, wat dieselfde koekie kop, en meld in watter webwerf jy besoek, wat in hierdie geval is vulnerable.com. Dit is 'n kruis-site scripting aanval in die sin dat jy soort van tricking 'n site in die vertel 'n ander webwerf oor 'n paar inligting dit moet nie, in werklikheid, het toegang tot. 

Alle reg, gereed vir een ander kommerwekkende detail? Alle reg, die wêreld is 'n scary plek, tereg so. Hier is 'n eenvoudige JavaScript voorbeeld wat in vandag se bron-kode genoem ligginggewing 0 en 1. En daar is 'n paar ipv aanlyn vir hierdie. 

En dit is die volgende as ek open hierdie webblad in Chrome. Dit maak die eerste niks. OK, ons sal dit weer probeer. O. Nee, dit moet iets doen. OK, hier staan. 

Kom ons probeer om hierdie keer meer. [Onhoorbaar] Ag, OK, nie seker hoekom the-- O, die toestel waarskynlik internet verloor toegang vir een of ander rede. Alle reg, so iets met my gebeur, te. 

Alle reg, sodat kennisgewing wat gaan hier aan. Hierdie kriptiese-soek URL, wat is net een van CS50 bediener wil my rekenaar te gebruik plek, soos fisies dit beteken. En as inderdaad, ek op Laat, laat ons sien wat gebeur. Blykbaar, dit is my huidige breedte en longitudinale koördineer af 'n pretty darn goeie resolusie. 

So hoe het ek op hierdie? Hoe om hierdie webwerf, soos CS50 bediener weet fisies waar in die wêreld Ek, laat staan ​​met die akkuraatheid. Wel, draai se out-- net laat kyk na die bladsy se source-- dat hier is 'n klomp van die HTML by die onderkant wat eers this-- body onload = "geolocate" - net 'n funksie wat ek geskryf het. 

En ek sê, op te laai die bladsy, bel geolocate. En dan is daar niks in die liggaam, want in die kop van die bladsy, sien wat ek hier. Hier is my geolocate funksie. En dit is net 'n paar fout checking-- indien die tipe navigator.geolocation is nie gedefinieer. So JavaScript het hierdie meganisme waar jy kan sê, wat is die tipe van hierdie veranderlike? En as dit nie undefined-- wat beteken dit is 'n paar value-- Ek gaan om te bel navigator.geolocation.getCurrentPosition en dan terugbel. 

Wat is dit? So in die algemeen, wat is 'n terugbel, net om duidelik te wees? Jy mag dalk teëgekom het hierdie reeds in pset8. Terugbel is 'n generiese term om te doen wat? Voel soos net my vandag. Publiek: [onhoorbaar]. David J. Malan Presies, 'n funksie dat indien genoem word slegs wanneer ons data. Hierdie oproep tot die leser, kry my huidige posisie, kan 'n mens millisekonde neem, dit kan 'n rukkie neem. Wat dit beteken is dat ons vertel die get getCurrentPosition metode, noem dit terugbelfunksie, wat ek letterlik naam terugbel vir eenvoud, wat blykbaar is hierdie een hier. 

En die manier waarop getCurrentPosition werk, net deur die lees van die dokumentasie vir 'n paar JavaScript-kode aanlyn, is dat dit 'n beroep dat die sogenaamde terugbel funksie, gaan dit in dit 'n JavaScript voorwerp, binnekant van wat is .coords.latitude en .coords.longitude, dit is presies hoe dan toe ek herlaai die bladsy, Ek was in staat om my plek hier te sien. Nou, ten minste was daar 'n verdediging hier. Voordat ek 'n besoek hierdie bladsy wanneer dit eintlik gewerk het, wat ek ten minste gevra word vir? 

Publiek: [onhoorbaar]. 

David J. Malan Ja of no-- doen jy dit wil toelaat of ontken? Maar dink ook oor die gewoontes julle ouens het waarskynlik aangeneem, beide op jou selfone en jou blaaiers. Baie van ons, myself ingesluit, is waarskynlik mooi ingestel om hierdie days-- jy sien 'n pop-up, gaan net, OK, goed te keur, Toelaat nie. En steeds, kan jy jouself aan die risiko vir die redes. 

So in werklikheid, was daar hierdie wonderlike fout 'n paar jaar ago-- of gebrek aan feature-- dat iTunes het 'n paar jaar gelede, waardeur, as jy het 'n selfoon, en dit was 'n iPhone, en jy jou huis verlaat en dus rondom die wêreld gereis of die omgewing, al hierdie tyd, jou selfoon is aan te meld waar jy is via GPS. En dit is eintlik bekend gemaak nie, en mense soort van verwag dat dit nou. Jou selfoon weet waar jy is. Maar die probleem is dat, toe jy back-up jou selfoon te iTunes-- dit was voor die dae van iCloud, wat vir 'n beter of vir worse-- die data gestoor word in iTunes, heeltemal ongeënkripteerde. So as jy 'n familie of kamermaats of 'n kwaadwillige buurman wat is nuuskierig oor letterlik elke GPS koördineer jy al ooit, hy of sy kon net sit op iTunes, hardloop sommige sagteware wat vrylik was beskikbaar is, en produseer kaarte soos hierdie. 

Trouens, dit is wat ek geproduseer van my eie selfoon. Ek ingeprop. En dit lyk, gebaseer op die blou kolle daar, dit is waar die meeste van die GPS koördinate was aangeteken deur iTunes dat ek was in die Noordooste daar. Maar ek glo rondom gereis 'n bietjie, selfs in Massachusetts. 

So dit is Boston Harbor daar aan die regterkant. Dit is soort van Cambridge en Boston, waar dit die donkerste. En soms, sal ek hardloop kuier om 'n groter geografie. 

Maar iTunes, vir die jaar, het, as die beste Ek kon vertel, almal van hierdie data op my. Jy kan sê dat, daardie jaar, was ek eintlik reis baie tussen Boston en New York, heen en weer gaan en terug en weer. En inderdaad, dit is vir my op Amtrak, terug en weer, heen en weer, nogal 'n bietjie. Al wat hy aangeteken en gestoor word geïnkripteer op my rekenaar vir enigiemand wat dalk toegang tot my rekenaar. 

Dit was kommerwekkend. Ek weet nie hoekom ek in Pennsylvania of waarom my selfoon was in Pennsylvania, blykbaar redelik dig. En dan, uiteindelik, het ek gekyk by my Gcal, en, o, ek besoek CMU, Carnegie Mellon, op die oomblik. En Sjoe, daardie soort verduidelik dat skans. En dan, as jy zoom verder uit, kan jy sien ek 'n besoek San Francisco een of meer keer dan en ek het selfs 'n oponthoud in watter Ek dink Vegas, daar. So al this-- net 'n oponthoud, op die lughawe. 

Publiek: [Gelag] 

So dit is net om te sê dat hierdie probleme, eerlik, is alomteenwoordig. En dit net voel toenemend asof daar meer en meer van hierdie openbaar word nie, wat waarskynlik 'n goeie ding. Ek daresay, die wêreld is nie erger te skryf sagteware. Ons is beter, hopelik teen die merk hoe sleg sekere sagteware is dat ons gebruik. En gelukkig, 'n paar maatskappye begin verantwoordelik vir hierdie gehou word. 

Maar watter soort van verdediging kan jy in gedagte het? So behalwe wagwoord bestuurders, soos 1Password en LastPass en ander, Behalwe net die verandering van jou wagwoorde en kom met 'n ewekansige kinders die gebruik van sagteware soos dat jy kan ook probeer as die beste wat jy kan te enkripteer al jou verkeer ten minste nou die sone van 'n bedreiging. So byvoorbeeld, as die Harvard affiliasies, julle almal kan gaan na vpn.harvard.edu en log in met jou Harvard ID en PIN. En dit sal 'n veilige verband tussen jou en Harvard. 

Nou, dit nie doen nie noodwendig beskerm teen enige bedreigings wat tussen Harvard en Facebook of Harvard en Gmail. Maar as jy sit in 'n lughawe of jy sit in Starbucks of jy sit by 'n vriend se plek, en jy nie regtig vertrou nie hulle of hul opset van hul huis router, ten minste kan jy vestig 'n veilige verbinding aan 'n entiteit soos hierdie plek wat waarskynlik 'n bietjie beter beskerm as iets soos 'n Starbucks of die wil. En wat dit doen, is dit stel, weer, enkripsie tussen jou en die eindpunt. 

Selfs liefhebber is dinge soos hierdie. So 'n paar van julle dalk reeds vertroud te wees met Tor, wat is hierdie soort van anonymization netwerk, waardeur baie van die mense, As hulle hardloop hierdie sagteware, roete gevolglik hul internet verkeer deur mekaar. So het die kortste punt is nie meer tussen A en B. Maar dit kan oor die wees plaas sodat jy in wese wat 'n mens se spore en verlaat minder van 'n rekord van waar jou HTTP verkeer vandaan kom, want dit gaan deur 'n hele klomp van die ander mense se skootrekenaars of rekenaars, vir 'n beter of vir slegter. 

Maar selfs dit is nie 'n betroubaar ding. Sommige van julle sal verlede jaar onthou die bomdreigement wat genoem is in. En dit is uiteindelik opgespoor na 'n gebruiker wat hierdie netwerk hier gebruik het. En die vangs daar, as ek reg onthou, is, indien daar nie so baie ander mense met behulp van 'n sagteware soos hierdie of gebruik van die hawe en protokol, dit is nie so moeilik vir 'n netwerk om selfs uit te vind wat met 'n paar waarskynlikheid, was in werklikheid anonimisering sy of haar verkeer. 

En ek weet nie of dit was die werklike besonderhede in die vraag. Maar seker besef dat nie een van dit is betroubaar oplossings, as well. En die doel vandag hier is om te minste kry jy dink oor hierdie dinge en kom met tegnieke vir jouself verdedig teen hulle. Enige vrae oor al die bedreigings dat jy wag daar buite, en hier? Ja? Publiek: Hoe veilig doen Ons verwag dat die gemiddelde [? webwerf te wees,?] soos die gemiddelde CS50 projek? 

David J. Malan Die gemiddelde CS50 projek? Dit is altyd elke jaar bewys dat sommige CS50 finale projekte is nie veral veilige. Gewoonlik is dit 'n kamermaat of hallmate dat syfers om dit uit deur die stuur van versoeke aan jou projek. 

Kort answer-- hoeveel webtuistes veilig is? Ek pluk vandag onreëlmatighede. Soos dit was net toevallig dat ek besef het dat hierdie webwerf Ek het al hierdie eerlik bestel heerlike reëlings from-- en ek is nie seker ek sal ophou met behulp van hul webwerf; Ek mag dalk net verander my wagwoord meer regularly-- Dit is nie duidelik hoe kwesbaar al hierdie various-- dit is sjokolade-bedekte eintlik. Die kort antwoord, kan ek nie antwoord wat effektief, anders as om dit te sê was nie so moeilik vir my om te 'n paar van hierdie voorbeelde net ter wille van die bespreking in lesing. En net 'n ogie oor Google News en ander hulpbronne bring al hoe meer van hierdie soort van dinge aan die lig. 

Alle reg, laat ons die gevolgtrekking met hierdie prequel dat CS50 se span het vir julle berei in afwagting van die CS50 Hackathon. En op jou pad uit in 'n oomblik, sal vrugte bedien word. [Video speel] [MUSIEK Fergie, Q WENK EN GOONROCK, "'n LITTLE PARTY nooit moord NIEMAND (ALLE Ons het) "] 

- [Snork] [Einde video speel] David J. Malan Dit is dit vir CS50. Ons sal sien dat jy op Woensdag. [MUSIEK - SKRILLEX, "IMMA 'probeer om dit uit"]