ديفيد جيه مالان: هذا هو CS50، وهذه هي بداية من الأسبوع 10. ولعلكم تذكرون أننا أظهرنا على شاشة طابعة 3D، والتي هو هذا الجهاز الذي يأخذ مكبات البلاستيك ثم يقذف ذلك بتسخينه يصل وذوبان بحيث نستطيع بعد ذلك تشكيل تشانغ جيش الفيلة، على سبيل المثال. 

حتى في البيت ليفريت، رغم ذلك، في الآونة الأخيرة، و كان يتحدث مع واحد من الخاصة بك زملاء الدراسة وصديق لتشانغ اسمه ميشيل، الذي يعتقل في الواقع هذه الشركة الأخرى في العام الماضي أن لديه أسلوب مختلف عن الواقع إنشاء كائنات ثلاثية الأبعاد، مثل هذا الفيل الصغير للغاية هنا. على وجه الخصوص، ويعمل هذا الطريق هو أنه مثال شيء دعا المجسمة، حيث يوجد هذا الحوض من راتنج أو السائل، ثم الضربات الليزر التي السائل، وتدريجيا، والجهاز المصاعد والمصاعد ويرفع شيء إن كنت تطبع، مثل الفيل، كما يصبح هذا السائل الصلبة. ونتيجة لذلك، في الواقع، شيء من أقوى بكثير من بعض البلاستيك هبات البعض منكم ربما كان. 

وما تفضلت تشانغ فعلت بالنسبة لنا هنا كان قام مرور الوقت باستخدام الصور على مدى ساعة أو أكثر، ربما، لإنتاج هذا الرجل هنا. أراد شخص ما الذي لا تأتي أبدا حتى قبل تحب أن تأتي ضرب ابدأ على هذا الفيديو؟ اسمحوا لي ان اذهب معها، وكيف حول هناك. هيا تصل. حسنا. وأنت؟ لوقا: لوقا اسمي (غير مسموع). ديفيد جيه مالان: مرحبا، لوقا. تشرفت بمقابلتك. 

لوقا: لطيف لمقابلتك. الجمهور: إنه يعمل لجامعة كاليفورنيا. 

ديفيد جيه مالان: أعرف، نحاول عدم تشجيع. كل الحق، حتى لوقا، كل ما عليك القيام به هنا في CS50 هو ضرب شريط الفضاء لطباعة هذا الفيل. [تشغيل الفيديو] - [آلة الطنين] - [تحطم] - [BOOM] - [تحطم] [END تشغيل الفيديو] ديفيد جيه مالان: لذا هذا هو بالضبط ما يشبه إلى 3D الطباعة. وهنا هو الفيل الخاص بك. شكرا للعمل التطوعي. حسنا. ذلك مرة أخرى، وفق مواصفات المشروع النهائي، وهذا الجهاز الذي هو تتوفر لك الرجال هو، لسبب ما، مشروع لديه بعض التقاطع من البرمجيات والأجهزة، ندرك أن هذه الموارد هي الآن. 

أردت أن تأخذ لحظة واحدة للمس بناء على المادة قرمزي التي خرج بها في وقت متأخر الليلة الماضية، والتي كان ل أعلن أن هذا الزميل هنا، ديفيد جونسون، الذي ما كان كبار مؤدب عن المفوضية الأوروبية 10 لبعض الوقت، وترك جامعة هارفارد في نهاية العام الدراسي. وأردت فقط أن نتوقف لحظة، بصراحة، أن أشكر ديفيد أمام CS50. لقد كان مرشدا لل أنواع لنا على مر السنين. 

وأنا أشعر أننا، CS50، يكون نمت بدلا مع المفوضية الأوروبية 10 هنا، لأنها حق أمامنا. وانه والفريق بأكمله في المفوضية الأوروبية لديها 10 كانت كريمة رائعة، وبصراحة، ونحن مقبض في كل معداتنا كل أسبوع، ومنذ سنوات، قدمت قدرا كبيرا محام كما كنا الغريب بشأن الكيفية التي تعمل المفوضية الأوروبية 10. لذلك شكرنا و الإعجاب لديفيد جونسون. 

[تصفيق] 

الآن، غير مترابطة، لذلك نهاية هي في الواقع قرب. نحن هنا في الأسبوع 10. وليس لدينا سوى مجرد أسبوعين رسمية هنا في الصف اليسار، يتبع قبل بضعة الأحداث. حتى لتعطيك إحساسا ما في الأفق، نحن هنا اليوم. 

هذا الأربعاء، استدعاء، علينا محاضرة ضيف لم يكن غير الخاصة ستيف بالمر مايكروسوفت. إذا كنت لم تذهب بعد ل cs50.harvard.edu/register، بذلك، منذ سوف تكون محدودة المساحة. وسيتم فحص معرفات عند الباب هذا اليوم. إذا لم تكن هنا في الأسبوع الماضي، اعتقدت ندف لك نظرة مختلفة في ستيف والإثارة التي ينتظرنا يوم الاربعاء. 

[تشغيل الفيديو] 

-Passion. 

-We're ستكون المتشددين hardcore--. 

-Innovator. 

وقال -Bill، وكنت لا تحصل عليه. نحن ذاهبون الى وضع كمبيوتر على كل مكتب وفي كل منزل، والتي أصبحت شعار للشركة. أقسم، أنه اخترع بيل في تلك الليلة لتعطي حقا لي بعض من رؤيا لماذا ينبغي أن أقول نعم. لقد نظرة الى الوراء أبدا، حقا، بعد ذلك. 

-Fresh من الكلية، و انضم لبدء التشغيل الوليد وساعد ذلك تنمو لتصبح واحدة من أميركا معظم الشركات الناجحة من أي وقت مضى. حياة وأعمال الدروس المستفادة على طول الطريق السماح له بالعودة الى بلده شغف الطفولة والحب. وأعدت تلك التجارب له التحدي القادم له في الحياة. 

-Nothing يحصل في ازدهار way-- لدينا! الحفاظ المتشددين القادمة! الذهاب كليبرز! 

، هذا هو ستيف بالمر، "وفي كلماتي الخاصة". [END تشغيل الفيديو] ديفيد جيه مالان: --this الاربعاء CS50. يتوجه مرة أخرى إلى هذا الرابط هنا. كما لماذا هو في الأفق، الأسبوع المقبل، أي محاضرة يوم الاثنين. ولكننا سوف يلي ذلك من خلال مسابقة واحد يوم الاربعاء. الذهاب إلى الصفحة الرئيسية CS50 للحصول على التفاصيل على الناس والأماكن والأوقات لجميع من مختلف proctoring اللوجستية وما شابه ذلك، فضلا عن مراجعة الدورات التي شيكة. ومن ثم، أخيرا، يوم الاثنين، وهو اليوم قبل أسبوع من عطلة عيد الشكر، أدرك أنه سيكون لدينا محاضرة النهائية. ونحن سوف تخدم كعكة وعظيم صفقة من الإثارة، ونأمل. 

الآن، وزوجين من التحديثات الأخرى. نضع في اعتبارنا أن الوضع التقرير، الذي هو في الحقيقة مجرد من المفترض أن يكون التفاعل عارضة مع فريق العمل لمجرد القول بفخر مدى جنبا إلى جنب مع الخاص بك المشروع النهائي أنت، أو على الأقل كما التعقل تحقق من أنه يجب عليك يمكن أن تقترب نشير بعد ذلك بوقت قصير. وهاكاثون ثم يلي ذلك. تحقيق هاكاثون ليس فرصة لبدء المشروع النهائي الخاص بك، ولكن ومن المفترض أن تكون فرصة ليكون في منتصف أو نحو نهاية المشروع النهائي الخاص بك، مع التنفيذ بسبب قلة وبعد أيام، تليها المعرض CS50. 

الآن، في إنتاج CS50 فريق، قبل بضع سنوات، تشكيل دعابة عن المعرض CS50 أننا نظن أننا سوف تظهر لك اليوم، لأنهم كان من الصعب في العمل على برقول لذلك، شريط فيديو جديدا أننا سوف تختتم اليوم. ولكن هنا ما ينتظركم عن المعرض CS50 هذا العام. [تشغيل الفيديو] - [CELL رنين الهاتف] [MUSIC "موضوع من المهمة المستحيلة"] [END تشغيل الفيديو] ديفيد جيه مالان: لذا هذا هو بالضبط كيف نغلق الطلبات النهائية للمشروع. زوجان من الآن إذا teasers-- كنت ترغب في الانضمام نيك هنا لتناول طعام الغداء، كالعادة، هذا الجمعة التوجه الى هذا الرابط هنا. وعلاوة على ذلك، إذا كنت ترغب للانضمام نيك أو هذا نيك أو هذا أليسون أو أي أعضاء فريق CS50، و لم أدرك ذلك، قريبا بعد نهاية المدة، و وبالفعل CS50 يتم تجنيد للفريق العام المقبل، لالمصدقة، TFS والمصممين والمنتجين، الباحثون، ومواقف أخرى أن تعمل هنا CS50 سواء في الجبهة من وراء الكواليس. حتى إذا كان هذا قد يكون من مصلحة لك، توجه إلى هذا الرابط هنا. وطالب بمزيد من الراحة، أقل راحة، و في مكان ما بين هم على حد سواء نرحب جميعا وتشجيعهم على تطبيقها. 

لذلك كان توقيت مثالي أن لا نكتة، هذا الصباح، عندما استيقظت، كان لي هذا هنا البريد المزعج في صندوق البريد الخاص بي. وتراجع الواقع من خلال فلتر البريد المزعج في Gmail انتهت بطريقة أو بأخرى، وحتى في بلدي البريد الوارد الفعلي. ويقول: "أيها صندوق بريد المستخدم، وكنت حاليا ترقية إلى 4 غيغابايت من المساحة. يرجى تسجيل الدخول إلى حسابك من أجل التحقق من صحة الفضاء الإلكتروني ". 

ثم هناك هذا اللون الأزرق الجميل هناك ارتباط تحريضية للنقر على لأعضاء هيئة التدريس والموظفين، الأمر الذي أدى بعد ذلك لي إلى صفحة المشروعة رائعة، والتي طلب مني أن أعطيهم اسمي وعنوان البريد الإلكتروني، وبطبيعة الحال، كلمة السر للتحقق من صحة من أنا، وهكذا دواليك. ولكن بطبيعة الحال، كما هو الحال دائما، وصولك إلى هذه الصفحة المقصودة، وبالطبع، هناك الخطأ المطبعي واحد على الأقل، والتي يبدو أن الظفر في نعش أي من هذه الحيل. وسنقوم بعد، وربما بعض الدول الاخرى روابط لهذه الأنواع من لقطات الشاشة في المستقبل. ولكن نأمل أن معظم الناس في وهذه الغرفة لا clicked-- أو حتى إذا كنت قد نقرت هذه الروابط مثل هذا، لم تكن قد ذهبت أبعد من ذلك ل ملء تلك الاستمارات وهكذا دواليك. في الواقع، لا بأس إذا كان لديك. سنحاول تحديد ذلك اليوم، لأنه، في الواقع، الحديث اليوم هو حول الامن. 

والواقع، واحدة من أهداف CS50 لا الكثير ليعلمك CE أو PHP أو جافا سكربت أو SQL أو أي من تلك الكامنة تفاصيل التنفيذ. ولكن هذا لتمكين لكم كبشر لجعل مجرد قرارات أكثر ذكاء كما يتصل تكنولوجيا أسفل الطريق بحيث، سواء كنت مهندس أو انساني أو عالم أو أي دور آخر، كنت اتخاذ قرارات مستنيرة حول استخدام الحوسبة الخاصة بك، أو إذا كنت في موقف صنع القرار، في السياسة، على وجه الخصوص، كنت تريد أن تجعل من ذلك بكثير، قرارات أفضل بكثير من وكانت الكثير من البشر اليوم. وسنفعل ذلك عن طريق طريق أمثلة قليلة. 

لأول مرة، وفوجئت بدلا مؤخرا إلى اكتشاف ما يلي. حتى كلمات السر، بالطبع، لماذا معظمنا تستخدم لحماية البريد الإلكتروني لدينا data--، والدردشة، وجميع أنواع الموارد من هذا القبيل. وفقط قبل awkward-- لا تظهر لل الأيدي، ولكن يبدو بالحرج من العار، كم منكم استخدام نفس كلمة السر في الكثير من المواقع المختلفة؟ 

أوه، حسنا، سنفعل اليدين. موافق، لذلك الكثير منكم القيام به. كل من يفعل هذا، فقط لماذا؟ وماذا؟ نعم؟ الجمهور: من السهل أن نتذكر، ل لم يكن لديك أن نتذكر (غير مسموع). ديفيد جيه مالان: نعم، فإنه من السهل أن نتذكر. انها معقولة إلى حد بعيد، السلوك العقلاني، على الرغم من أن خطر أنك تضع نفسك في في هذه الحالات هي مجرد واحد أو أكثر من تلك المواقع هو عرضة للقرصنة أو ل غير آمنة أو كلمة المرور الخاصة بك فقط لذلك الرتق guessable، أي شخص يمكن أن الرقم بها. هو حساب واحد ليس فقط الشبهة، ولكن من الناحية النظرية، أي حسابات لديك على شبكة الانترنت. لذلك أنا أعرف أنني قد أقول اليوم، لا استخدام كلمة السر نفسها في كل مكان، ولكن هذا الكثير أسهل من القيام به. ولكن هناك تقنيات ل التخفيف من هذا القلق بشكل خاص. 

الآن، وأنا يحدث، على سبيل المثال، ل استخدام برنامج يسمى 1Password. ويطلق واحدة شعبي آخر لاست باس. وحفنة من استخدام الموظفين CS50 احد أو أكثر من هذه الأنواع من الأدوات. وقصة قصيرة طويلة، الوجبات الجاهزة واحد لهذا اليوم ينبغي أن يكون، نعم، قد تكون لديكم نفس كلمة المرور في كل مكان، ولكن من السهل جدا أن لم تعد تفعل ذلك. على سبيل المثال، في هذه الأيام، وأنا أعلم ربما واحدة من بلدي عشرات أو مئات من كلمات السر. كل من بلدي كلمات السر الأخرى هي شبه عشوائي المتولدة عن أحد هذه البرامج هنا. وباختصار، وحتى رغم أن معظم هذه البرامج تميل إلى أن تأتي مع قليلا من حيث التكلفة، و كنت تثبيت برنامج مثل هذا، هل ثم تخزين كافة أسماء المستخدمين وكلمات السر الخاصة بك داخل هذا البرنامج على خاص بك ماك أو جهاز كمبيوتر أو شئون الحياة، ومن ثم فإنه سيكون مشفرة على جهاز الكمبيوتر الخاص بك مع ما نأمل ل كلمة المرور طويلة للغاية. وذلك لدي مجموعة كاملة من كلمات السر للمواقع الفردية، ثم لدي حقا كلمة السر طويلة بأنني استخدام لفتح كل من تلك كلمات السر الأخرى. وما هو لطيف حول مثل هذه البرامج هو أنه عندما تقوم بزيارة موقع الويب هذا طلب اسم المستخدم وكلمة المرور الخاصة بك، في هذه الأيام، وأنا لا تكتب في اسم المستخدم وكلمة السر، لأنه، مرة أخرى، وأنا لا أعرف حتى ما أكثر كلمات السر الخاصة بي هي. أنا بدلا من ضرب لوحة المفاتيح الاختصار، والنتيجة التي هو لتحريك هذا البرنامج ل تدعوني لكلمة سر رئيسية بلدي. أنا اكتب بهذا الحجم واحد في كلمة، ثم المتصفح تلقائيا بتعبئة ما هي كلمة السر. ذلك حقا، إذا كنت تأخذ أي شيء آخر بعيدا من اليوم من حيث كلمات السر، هذه هي البرامج التي تستحق تحميل أو الاستثمار في ذلك التي تستطيع على الأقل استراحة هذه العادة معينة. وإذا كنت من النوع هذا باستخدام ما بعد انها تلاحظ أو like-- والاحتمالات هي واحد على الأقل واحد منكم is-- هذه العادة أيضا، ويكفي ان نقول، ينبغي أن تكون مكسورة. 

الآن، حدث لي لاكتشاف، ونتيجة ل لاستخدام البرنامج، بما يلي. أنا كان يأمر ترتيب الطعام و هذه سلة من الفاكهة، مؤخرا. وأنا ضربت بلدي لوحة المفاتيح الخاص اختصار لتسجيل الدخول إلى الموقع. وأثار البرنامج ل المنبثقة التي قال، هل أنت متأكد تريد مني أن تلقائيا يقدم هذا اسم المستخدم وكلمة المرور؟ لأن الاتصال غير آمن. 

العلاقة ليست باستخدام HTTPS، لأمنا، استخدام هذا البروتوكول المعروفة باسم SSL، طبقة مآخذ التوصيل الآمنة. وبالفعل، إذا نظرتم الجزء العلوي الأيسر من هذا الموقع، انها مجرد www.ediblearrangements.com، لا HTTPS، وهي ليست على ما يرام. 

الآن، كنت curious-- ربما هذا هو مجرد خطأ في البرنامج. بالتأكيد، بعض المواقع مثل ذلك أن الكثير منا يعرف من وعلى الأقل باستخدام التشفير أو HTTPS عناوين المواقع لتسجيل الدخول. حتى حصلت الغريب قليلا هذا الصباح. وحصلت أنا خارج بلدي المهارات CS50، أنا فتحت كروم المفتش. انها ليست حتى الكثير من المهارة. انها مجرد ضرب لوحة المفاتيح الصحيح اختصار لفتح هذا الأمر. وهنا نافذة كبيرة المفتش كروم. 

ولكن ما كان في الواقع قليلا مأساوية ومثيرة للسخرية كانت هذه السطور اثنين هنا. في أعلى، لاحظ URL ل وهو اسم المستخدم وكلمة المرور قدمت. اسمحوا لي في التكبير. كان هذا هنا. وكل ذلك هو نوع من رتيبا، باستثناء شيء وعلى طول الطريق في اليسار، الذي يبدأ ب http: //. وحتى ذلك الحين، حسنا، ربما انهم مجرد ارسال اسمي، وهو لا مثل هذه الصفقة الكبيرة. ربما يحصل على إرسال كلمة المرور الخاصة بي في وقت لاحق. قد يكون ذلك نوع من قرار تصميم مثيرة للاهتمام. 

ولكن كلا. إذا كنت بعد ذلك ننظر في الطلب الحمولة، واسم المستخدم وكلمة المرور أنا sent-- وأنا سخر هذه تصل لslide-- أرسلت فعلا في واضحة. لذلك يمكنك الذهاب إلى هذا الموقع بالذات و يأمر بإجراء ترتيبات قابلة للأكل مثل هذا، وبالفعل، على ما يبدو، لهذا كله الوقت لقد طلب منها، اسم المستخدم وكلمة المرور الخاصة بك يجري عبر في واضحة. لذلك بصراحة، وهذا هو غير مقبول تماما. وانها تافهة جدا لتجنب الأشياء مثل هذا كمصمم للموقع على شبكة الانترنت وكما مبرمج من موقع على شبكة الانترنت. 

لكن الوجبات الجاهزة هنا ل لنا كمستخدمين من المواقع هو فقط لنقدر أن جميع ما يتطلبه الأمر هو لتصميم واحد غبي القرار، قرار غير مبرر التصميم، حتى الآن، إذا كنت تعرف كلمة السر هي "قرمزي" على هذا موقع، ربما كنت قد حصلت للتو إلى مجموعة كاملة من المواقع الأخرى التي لدي الآن. وليس هناك الكثير من دفاع ضد ذلك بخلاف ما فعله تشانغ صباح اليوم. ذهب إلى ترتيبات صالحة للأكل، والتي يقع في الشارع في كامبريدج، واشترى جسديا هذا بالنسبة لنا. كان ذلك أكثر أمنا بكثير من باستخدام الانترنت في هذه الحالة. 

لكن التفاصيل للحفاظ على العين ل هو في الواقع ما هو في المتصفح حتى أعلى هناك. ولكن حتى هذا يمكن أن تكون خادعة بعض الشيء. حتى آخر للاهتمام مثال وسيلة للدفاع ضد this-- وفعلا، دعونا لا أن first-- طريق الدفاع ضد هذه هي تقنية أن رجال الأمن من شأنه استدعاء اثنين عامل التوثيق. 

لا أحد يعرف ما الحل لمشاكل من هذا القبيل يعني؟ ما هو مصادقة اثنين عامل؟ أو بعبارة أخرى، كيف الكثير منكم يستخدمون ذلك؟ حسنا، زوجين من الناس خجولة. ولكن نعم. رأيت يدك ترتفع. ما هو مصادقة اثنين عامل؟ 

الجمهور: في الأساس، بالإضافة لكتابة كلمة السر الخاصة بك، لديك أيضا (غير مسموع) الثانوي إرسالها عبر رسالة نصية إلى هاتفك في (غير مسموع). ديفيد جيه مالان: بالضبط. بالإضافة إلى بعض الشكل الأساسي من التوثيق، مثل كلمة السر، كنت سألت عن الثانوية عامل، وهو عادة شيء لديك جسديا عليك، على الرغم من أنه يمكن أن يكون شيئا آخر تماما. وهذا الشيء هو عادة الهواتف المحمولة هذه الأيام التي تحصل أرسل رسالة نصية المؤقتة التي تقول "لديك رمز المرور المؤقت هو 12345." 

وذلك بالإضافة إلى بلدي كلمة "قرمزي" أنا أيضا يجب أن اكتب في كل ما الموقع قد texted لي. أو إذا كان لديك هذا مع البنك أو حساب الاستثمار، لديك بعض الأحيان هذه يذكر أن الدونغل في الواقع لديهم شبه عشوائي عدد المولدات في صلب لهم، ولكن كلا من الجهاز والبنك تعرف ما هو البذور الأولي بحيث يعرفون، وحتى كود القليل القليل على سلسلة المفاتيح الخاصة بك مسيرات قبل كل دقيقة أو اثنين، وتغيير القيم و فهل هذا التغيير القيمة على الخادم البنك بحيث يمكن المصادقة بالمثل لك، وليس فقط مع كلمة السر الخاصة بك، ولكن مع هذا الرمز مؤقت. الآن، يمكنك أن تفعل في الواقع هذا في جوجل. وبصراحة، وهذا هو عادة جيدة للوصول الى، خاصة إذا كنت تستخدم بريد جوجل في كل وقت على المتصفح. إذا ذهبت إلى هذا الرابط هنا، والتي هي في الشرائح على الانترنت لهذا اليوم، ومن ثم انقر على التأكيد 2-الخطوة، نفس الشيء الفعلي هناك. سيطلب منك إعطاء لهم رقم هاتفك الخليوي. وبعد ذلك، في أي وقت تقوم بتسجيل الدخول إلى جوجل، عليك أن تكون لا يطلب فقط كلمة المرور الخاصة بك، ولكن أيضا ل كود القليل الذي يحصل إرسالها إلى هاتفك مؤقتا. وطالما كنت قد مكنت الكوكيز، وطالما لم تقم صراحة تسجيل الخروج، سيكون لديك فقط للقيام بذلك مرة واحدة في لحظة، مثل عند الجلوس على جهاز كمبيوتر جديد. 

والارتفاع هنا، أيضا، هو، إذا كنت الجلوس في مقهى على غرار بعض الانترنت الكمبيوتر أو مجرد كمبيوتر صديق، حتى لو أن صديق ضار أو تدري لديه بعض مسجل لوحة المفاتيح المثبتة على جهاز الكمبيوتر الخاص به، هذا أن كل ما يتم تسجيل نوع، في ذلك عاملا آخرا الثاني، أن كود مؤقت، هو سريع الزوال. حتى انه أو انها أو أيا من خطر الكمبيوتر لا يمكن تسجيل الدخول إلى لك في وقت لاحق، حتى لو كان كل شيء آخر كان عرضة للخطر أو حتى غير مشفرة تماما. الفيسبوك لديه هذا، أيضا، مع هذا العنوان هنا، حيث يمكنك النقر على موافقات تسجيل الدخول. حتى هنا، أيضا، إذا كنت لا أريد أصدقاء لكزة الناس، كنت لا تريد أن تكون بدس في الفيسبوك أو نشر تحديثات الحالة بالنسبة لك، اثنين عامل التوثيق هنا ربما هو شيء جيد. ثم هناك هذا تقنية أخرى تماما، التدقيق فقط، والتي هي حتى شيء جيد بالنسبة لنا البشر، إذا اثنين عامل يثبت مزعج، والتي، باعتراف الجميع، فإنه يمكن، أو أنه فقط لا تتوفر على بعض المواقع، الحد الأدنى إبقاء العين على إذا ومتى كنت تسجيل الدخول إلى المواقع، وإذا كانت تسمح لك، هي تقنية جيدة أيضا. حتى الفيسبوك يتيح لك ايضا هذا ميزة إخطارات تسجيل الدخول، حيث في أي وقت يدرك الفيسبوك، جلالة، ديفيد لديه تسجيل في بعض من الكمبيوتر أو الهاتف أننا لم يسبق له مثيل من قبل من عنوان IP التي تبدو غير مألوفة، أنها على الأقل سوف نرسل لك رسالة البريد الإلكتروني إلى أي عنوان بريد إلكتروني لديك على الملف، قائلا: هل هذا تبدو مشبوهة؟ إذا كان الأمر كذلك، قم بتغيير كلمة السر الخاصة بك على الفور. وحتى هناك، أيضا، السلوك التدقيق فقط حتى بعد أن كنت قد تم خطر، يمكن على الأقل تضييق خلال نافذة التي كنت عرضة للخطر. 

كل الحق، أي الأسئلة على أن الاشياء حتى الآن؟ اليوم هو يوم للحصول على كل جنون العظمة الخاص المؤكدة أو رفض. وهذا ما أكد معظمهم، للأسف. نعم؟ 

الجمهور: [غير مسموع] الهاتف، ماذا لو فواصل هاتفك، ثم انها دائما يصعب verify-- 

ديفيد جيه مالان: صحيح. 

الجمهور: أو إذا كنت في مختلفة البلاد، وأنها لا تسمح لك تسجيل الدخول ل[غير مسموع]. ديفيد جيه مالان: بالتأكيد. وهكذا وهذه هي إضافي التكاليف التي تتكبدها. هناك دائما هذا الموضوع للمفاضلة، بعد كل شيء. ومن ثم، إذا فقدت هاتفك، إذا كان وقوع، إذا كنت في الخارج، أو انك لا تملك إشارة، مثل الجيل الثالث 3G أو إشارة LTE، أنت قد لا فعلا تكون قادرة على المصادقة. 

ذلك مرة أخرى، وهذه هما المقايضات. وأحيانا، فإنه يمكن إنشاء الكثير من العمل بالنسبة لك نتيجة لذلك. ولكن ذلك يعتمد حقا، إذن، على ما هو السعر المتوقع لك هو شيء كائن الشبهة تماما. 

لذلك SSL، إذن، هو أن هذه التقنية ونحن نأخذ كل عام من المسلمات أو نفترض أن هناك، على الرغم من هذا ليس هو الحال بوضوح. ويمكنك الاستمرار في تضليل الناس، رغم ذلك، وحتى مع هذا. حتى هنا مثال على أحد البنوك. 

هذا هو بنك أوف أميركا. هناك مجموعة كاملة من هذه في ساحة هارفارد وخارجها. ونلاحظ أنه في أعلى جدا من الشاشة، هناك، في الواقع، HTTPS. وانها حتى الأخضر وأبرزت لنا للإشارة إلى أن هذا هو الواقع موقع آمن مشروعة، أو هكذا كنا نعتقد المدربين ل. 

الآن، فضلا عن ان، رغم ذلك، ملاحظة أنه إذا كنا في التكبير، يوجد هذا الشيء هنا، حيث مطالبتك بتسجيل الدخول. ماذا يعني هذا القفل الصحيح هناك، بجانب اسمي يدفع؟ هذا أمر شائع جدا على مواقع الإنترنت، أيضا. ماذا يعني هذا القفل؟ يبدو أنك مثل تعلمون. 

الجمهور: هذا لا يعني أي شيء. 

ديفيد جيه مالان: إنه لا يعني أي شيء. فهذا يعني أن بنك أوف أمريكا يعرف كيف لكتابة HTML مع به صورة، أليس كذلك؟ وهو ما يعني حقا لا شيء، لأنه حتى نحن، وذلك باستخدام اليوم الأول من نظرتنا في HTML، يمكن أن تصل رمز صفحة مع خلفية حمراء وصورة، مثل GIF أو شئون الحياة، أن يحدث أن تبدو وكأنها قفل. وحتى الان، وهذا هو سوبر شيوعا في المواقع، لأننا قد تم تدريبهم على تحمل هذا، أوه، يعني قفل آمن، عندما حقا يعني فقط أن تعرف HTML. 

على سبيل المثال، مرة في اليوم، ويمكنني أن وقد وضعت للتو هذا على موقع الويب الخاص بي، مدعيا انها أمنا، ويسأل، على نحو فعال، عن أسماء المستخدمين وكلمات السر الناس. لذلك تبحث في URL هو على الأقل فكرة أفضل، لأن هذا هو صلب كروم أو أيا كان المتصفح الذي تستخدمه. ولكن حتى ذلك الحين، وأحيانا أشياء يمكن أن تسوء. في واقع الأمر، قد لا دائما رؤية HTTPS، ناهيك باللون الأخضر. 

لديك أي منكم أي وقت مضى رأيت شاشة مثل هذا؟ قد تكون لديكم، في الواقع، في وقت سابق من أكتوبر، عندما نسيت أن تدفع لدينا شهادة SSL، كما يطلق عليها، وكنا نبحث مثل هذا لمدة ساعة أو اثنتين. لذلك ربما كنت قد رأيت أشياء مثل هذا، بتسديدة من خلال، مثل خط أحمر، من خلال بروتوكول في URL أو نوع من الشاشة وهذا على الأقل مباحث لك لمحاولة المضي قدما. وجوجل هنا هو دعوة لك بالعودة إلى بر الأمان. 

الآن، في هذه الحالة، هذا يعني فقط أن شهادة SSL التي كنا نستخدمها، الكبيرة، أرقام مفيدة رياضيا التي ترتبط مع خادم CS50، و لم تعد صالحة. وفي الواقع، يمكننا محاكاة هذا، كما يمكنك على جهاز الكمبيوتر المحمول. إذا ذهبت إلى كروم هنا، ودعنا نذهب إلى facebook.com، ويبدو أن هذا هو آمن. ولكن اسمحوا لي أن نمضي قدما الآن و انقر على القفل هنا. 

واسمحوا لي أن انتقل إلى اتصال، معلومات الشهادة. وبالفعل، ما عليك نرى هنا هي حفنة من التفاصيل حول المستوى الأدنى facebook.com الذي هو حقا. يبدو انهم دفعوا المال ل شركة تدعى ربما DigiCert العليا التأكيد على أن وعدت لإخبار بقية العالم على أنه إذا كان متصفح يرى أي وقت مضى وcertificate-- يمكن ان يخطر لك من هو حرفيا بمثابة شهادة يبدو أن الشيء جبني في أعلى left-- ثم facebook.com هو الذي يقولون هم، لأن كل هذا الوقت، عندما يمكنك زيارة موقع على شبكة الانترنت، مثل cs50.harvard.edu أو facebook.com أو gmail.com التي تستخدم HTTPS عناوين المواقع، وراء الكواليس، يوجد هذا النوع من المعاملات يحدث تلقائيا بالنسبة لك، حيث facebook.com، في هذه الحالة، وترسل إلى المتصفح الخاص بك لها ما يسمى شهادة SSL، أو بالأحرى، المفتاح العام الخاص به، ثم متصفحك وباستخدام هذا المفتاح العام لارسال في وقت لاحق مشفرة حركة المرور منه وإليه. 

ولكن هناك هذا التسلسل الهرمي كله في عالم الشركات أن تدفع المال لمن سوف ثم الشهادة، بالمعنى الرقمي، ان كنت حقا facebook.com أو الخادم الخاص بك هو في الواقع cs50.harvard.edu. وبنيت في المتصفحات، مثل كروم وإنترنت إكسبلورر وفايرفوكس، هي قائمة كل تلك ما يسمى السلطات شهادة التي أذن بها مايكروسوفت وجوجل وموزيلا تأكيد أو نفي أن facebook.com هو الذي يقول هو. ولكن الفكرة هنا أن هذه الأمور لا تنتهي. في الواقع، يبدو في الفيسبوك انها تنتهي في أكتوبر المقبل، في عام 2015. 

حتى نتمكن من محاكاة الواقع هذا إذا أنا اذهب في بلدي ماك لنظام الافضليات بلدي، وأنا أذهب إلى التاريخ والوقت، و أذهب إلى التاريخ والوقت هنا، وأنا فتح هذا here-- والحمد لله، نحن لم تكشف عن كلمة السر هذا time-- والآن أذهب الى إلغاء هذا. ودعونا actually-- عفوا، هذا لا اهتمام مثل ذلك. نحن حرفيا في المستقبل الآن، مما يعني هذا ما هو مثل 2020. لو كنت الآن تحميل page-- دعونا نفعل ذلك في Ingognito mode-- إذا كنت تحميل الصفحة، هناك نذهب. 

حتى الآن، يعتقد جهاز الكمبيوتر الخاص بي فمن عام 2020، ولكن متصفحي يعلم أن هذه الشهادة من الفيسبوك تنتهي، بطبيعة الحال، في عام 2015. حتى انها لإعطائي هذه الرسالة الحمراء. الآن، والحمد لله، المتصفحات مثل كروم فعلا جعلت من الصعب جدا ل مع ذلك المضي قدما. انهم يريدون لي حقا العودة إلى بر الأمان. 

إذا كنت اضغط هنا المسبق، انها ستقول لي بعض مزيد من التفاصيل. وإذا كنت تريد حقا المضي قدما، وسأترك لي بالذهاب إلى facebook.com، الذي هو، مرة أخرى، غير آمنة، وعند هذه النقطة سوف نرى موقع الفيسبوك، ومثل هذا. لكن الأمور ثم أخرى يبدو أن كسر. ما ربما كسر في هذه المرحلة؟ الجمهور: جافا سكريبت. ديفيد جيه مالان: مثل جافاسكريبتس و / أو CSS الملفات بالمثل تواجه هذا الخطأ. لذلك هذا هو مجرد حالة سيئة عموما. ولكن النقطة هنا هي أن ما لا يقل عن الفيسبوك لديها بالفعل تمكين SSL لأجهزتهم، والعديد من المواقع، القيام به، ولكن ليس بالضرورة جميع. 

ولكن هذا ليس وحده من الوجبات الجاهزة هنا. تبين أنه حتى SSL وقد تجلى أن تكون غير آمنة في بعض الطريق. لذلك أنا نوع من دلالة على أن SSL، جيد. ابحث عن عناوين HTTPS، والحياة جيدة، لأن كل حركة المرور HTTP الخاصة بك والرؤوس ويتم تشفير المحتوى. 

لا يمكن لأحد أن يعترض عليه في الوسط باستثناء ما يسمى الرجل في الوسط. هذا هو أسلوب العامة في عالم الأمان المعروفة كما هجوم الرجل في داخل المتوسطة. لنفترض أنك هذا القليل كمبيوتر محمول هنا على اليسار، ونفترض أنك تحاول زيارة الخادم هناك على الحق، مثل facebook.com. 

ولكن لنفترض أنه في بينك والفيسبوك، هي مجموعة كاملة من خوادم أخرى و المعدات، مثل المحولات والموجهات، و خوادم DNS، خوادم DHCP، لا شيء من الذي نحن السيطرة. قد يكون للرقابة من قبل ستاربكس أو هارفارد أو كومكاست أو ما شابه ذلك. حسنا، لنفترض أن شخصا ضار، على الشبكة، في بينك والفيسبوك، قادر أن أقول لكم هذا، وانت تعرف ما هو عنوان IP لل الفيسبوك ليس ما كنت اعتقد انه هو. فمن هذا IP بدلا من ذلك. 

وحتى المتصفح غرر طلب حركة المرور من آخر الكمبيوتر تماما. حسنا، لنفترض أن الكمبيوتر ببساطة ينظر إلى جميع حركة المرور كنت الطالبة من الفيسبوك وجميع من صفحات الويب ان كنت الطالبة من الفيسبوك. وأي وقت يرى في حركة المرور الخاصة بك عنوان URL الذي يبدأ ب HTTPS، بشكل حيوي، على يطير، يعيد كتابة بأنها HTTP. وأي وقت يرى مكان رأس والموقع القولون، مثل التي نستخدمها لإعادة توجيه المستخدم، وتلك، أيضا، يمكن تغييرها من قبل هذا الرجل في من منتصف HTTPS إلى HTTP. 

لذلك حتى لو كنت قد نفسك أعتقد أنك في الفيسبوك الحقيقي، فإنه ليس من الصعب ل خصم مع الوصول الفعلي إلى الشبكة الخاصة بك ببساطة العودة إلى الصفحات التي قمت تبدو مثل Gmail، أن تبدو مثل الفيسبوك، والواقع هو URL متطابقة، لأنهم التظاهر أن يكون هذا نفس اسم المضيف بسبب بعض استغلال DNS أو بعض نظام آخر من هذا القبيل. والنتيجة، إذن، هو أننا بشر ربما فقط ندرك أن، حسنا، هذا يبدو وكأنه جوجل أو على الأقل النسخة القديمة، كما هو هذه الشريحة من عرضا السن. لكن يبدو this-- http://www.google.com. 

حتى هنا، أيضا، واقع غير أن كم منكم، عندما تذهب إلى الفيسبوك أو جوجل أو أي موقع وأنتم تعلمون شيئا قليلا حول SSL، كم منكم جسديا اكتب https: // ثم الموقع الاسم، أدخل. معظمنا اكتب فقط، مثل، CS50، هاهنا، أو F-A لالفيسبوك وهاهنا، والسماح لها كاملة لصناعة السيارات. ولكن وراء الكواليس، وإذا يمكنك مشاهدة حركة المرور HTTP الخاصة بك، ربما هناك مجموعة كاملة تلك الرؤوس موقع التي ترسل لك من الفيسبوك www.facebook.com ل لhttps://www.facebook.com. 

حتى أن واحدة أو أكثر من المعاملات HTTP حيث معلوماتك تماما أرسلت في واضحة، لا التشفير على الإطلاق. الآن، قد لا تكون مثل هذه الكبيرة التعامل إذا كان كل ما نحاول القيام به تم الوصول إلى الصفحة الرئيسية، كنت لا إرسال اسم المستخدم وكلمة المرور الخاصة بك. ولكن ما هو تحت غطاء محرك السيارة، وخاصة للمواقع PHP على أساس هذا أيضا إرسالها ذهابا وإيابا عندما قمت بزيارة بعض صفحات الويب إذا إن استخدامات الانترنت، مثلا، PHP وتنفذ وظائف مثل pset7؟ ما كان يجري إرسالها ذهابا وإيابا في رؤوس HTTP الخاص الذي أعطاك الوصول إلى هذه جميلة فائدة عظمى عالمية في PHP؟ 

الجمهور: الكوكيز. 

ديفيد جيه مالان: البسكويت، وتحديدا PHP sess الكوكي الهوية. لذلك أذكر، إذا ذهبنا إلى، مثلا، cs50.harvard.edu مرة أخرى، لكن هذه المرة، دعونا فتح علامة التبويب الشبكة، والآن، هنا، دعونا نذهب حرفيا فقط لhttp://cs50.harvard.edu ثم ضرب أدخل. ثم ننظر إلى الشاشة إلى هنا. لاحظ أن وصلنا بالفعل العودة 301 انتقل بشكل دائم الرسالة، وهو ما يعني أن هناك رأس المكان هنا، وهو توجيه لي الآن أن HTTPS. 

ولكن تكمن المشكلة في أنه إذا كان لي بالفعل الكوكي ختمها على يدي تقريبا، كما ناقشناه من قبل، و أنا من النوع البشري للتدري مجرد زيارة غير آمنة نسخة ومتصفحي يأخذ عاتقها لإظهار أن ختم يد ل الطلب الأول، الذي هو عن طريق HTTP، أي رجل في منتصف، أي الخصم في الوسط، يمكن نظريا نرى فقط هؤلاء رؤوس HTTP، فقط وكأننا ننظر لهم هنا. انها فقط مرة واحدة كنت التحدث إلى HTTPS URL لا تلك اليد ختم نفسه يحصل مشفرة، على غرار قيصر أو Vigenere، ولكن مع خوارزمية مربي الحيوانات تماما. حتى هنا، أيضا، حتى لو المواقع تستخدم HTTPS، وقد اشترط نحن البشر، وذلك بفضل لتقنيات الإكمال التلقائي وغيرها، ليست حتى التفكير الآثار المحتملة. الآن، هناك طرق حول هذا. على سبيل المثال، العديد يمكن تكوين المواقع بحيث أنه، وبمجرد الانتهاء من هذه اليد الطوابع، ويمكن أن أقول لكم المتصفح، هذا الطابع اليد فقط لاتصالات SSL. لا ينبغي أن يقدم المتصفح لي إلا إذا كان عبر SSL. ولكن العديد من المواقع لا تهتم بذلك. والعديد من المواقع على ما يبدو حتى لا يكلف نفسه عناء مع SSL على الإطلاق. 

حتى لمعرفة المزيد عن ذلك، هناك في الواقع المزيد من الاوساخ في هذا العرض أن زميل أعطى في ما يسمى الأسود مؤتمر قبعة بضع سنوات مضت، حيث هناك حتى البعض وقد استخدمت الحيل الخبيثة الناس. تذكرون هذا فكرة فافيكون، التي يشبه شعار القليل هذا في كثير من الأحيان في نافذة المتصفح. كذلك، ما كان شيوعا بين الأشرار و لجعل القوات المسلحة البوروندية الرموز التي تبدو مثل ماذا؟ الجمهور: [غير مسموع]. ديفيد جيه مالان: أقول مرة أخرى؟ الجمهور: إن المواقع. ديفيد جيه مالان: غير موقع على شبكة الانترنت. لذلك فافيكون، صغير رمز قليلا. ما يمكن أن يكون أكثر الخبيثة، الشيء المتلاعبة هل يمكن جعل موقع الويب الخاص بك الرمز الافتراضي تبدو وكأنها؟ الجمهور: والقفل الأخضر. ديفيد جيه مالان: ما هذا؟ الجمهور: والقفل الأخضر الصغير. ديفيد جيه مالان: مثل قفل الأخضر، بالضبط. لذلك يمكن أن يكون هذا الجمالية من قفل الأخضر قليلا، و ملمحا إلى العالم، أوه، نحن تأمين، ومتى، مرة أخرى، كل ذلك يعني هو أن تعرف بعض HTML. جلسة حتى اختطاف ويشير إلى أن بالضبط. إذا كان لديك شخص نوع من استنشاق موجات الأثير في هذه الغرفة هنا أو لديه الوصول الفعلي إلى شبكة ويمكن أن نرى الكوكيز الخاص بك، انه أو انها يمكن أن انتزاع PHP sess الكوكي الهوية. ومن ثم، لو انهم الدهاء ما يكفي لتعرف كيفية إرسال ملف تعريف الارتباط باعتبارها ملكا لهم ختم اليد فقط عن طريق نسخ تلك القيمة وإرسال رؤوس HTTP، شخص يمكن بسهولة جدا تسجيل الدخول إلى أي من الفيسبوك حسابات أو حسابات Gmail أو حسابات تويتر التي هي هنا، مفتوحة في الغرفة، وإذا كنت لا تستخدم SSL وإذا كان الموقع هو عدم استخدام SSL بشكل صحيح. 

لذلك دعونا التحول إلى واحد آخر. حتى قصة حقيقية أخرى. وهذا مجرد كسر في أخبار أسبوع أو اثنين قبل. وقد تم القيام فيريزون شيء شرير جدا، وأفضل الناس كما يمكن أن أقول، منذ عام 2012 على الأقل، حيث، عند الوصول إلى المواقع عبر فيريزون الهواتف المحمولة، ومصنع مهما كان، فقد كانت بوقاحة، كما تقول القصة، حقن في كل من HTTP الخاص بك رأس HTTP حركة المرور الخاصة بهم. ويبدو أن رأس مثل this-- X-UIDH. UID يشبه فريدة من نوعها المعرف أو معرف المستخدم. وX يعني فقط هذا هو العرف رأس هذا ليس المعيار. 

ولكن ماذا يعني هذا غير أنه، إذا أنا سحب ما يصل، على سبيل المثال، أي موقع على هاتفي here-- وأنا باستخدام فيريزون لي carrier-- على الرغم من متصفحي قد لا يتم إرسال هذه HTTP رأس، فيريزون، في أقرب وقت كما تصل إشارة لهم برج الهاتف الخلوي في مكان ما، لقد كان لبعض الوقت عن طريق الحقن هذا رأس في كل من حركة المرور HTTP لدينا. لماذا يفعلون ذلك؟ ويفترض لأسباب تتبع، لأسباب الدعاية. 

لكن القرار التصميم مغفل هنا هو أن رأس HTTP، كما يا رفاق نعرف من pset6، واستقبل من قبل أي خادم الويب أن كنت طالبا حركة. لذلك كل هذا الوقت، إذا قمت بزيارة الفيسبوك أو جوجل أو أي موقع التي لا تستخدم SSL جميع time-- وفعلا، تلك اثنين ولله الحمد do-- الآن لكن المواقع الأخرى التي لا تستخدم SSL في كل وقت، فيريزون لديه أساسا تم زراعة، قسرا، ختم اليد على كل من الأيدي التي حتى لا نرى، بل والمواقع نهاية القيام به. وهكذا لم يكن من ذلك من الصعب على أي شخص على شبكة الانترنت تشغيل خادم الويب ل ندرك، أوه، هذا هو داود أو، أوه، هذا هو دافين، حتى لو كنا صرامة حول مسح الكوكيز لدينا، لأنه لا يأتي من الولايات المتحدة. انها قادمة من الناقل. 

يفعلون البحث عن رقم هاتفك ثم يقول، يا، وهذا هو ديفيد. اسمحوا لي أن حقن معرف فريد جدا أن المعلنين أو من يمكن تتبع هذا. لذلك هذا هو في الواقع جدا، جدا، سيئة جدا ومروع. وأود أن أشجعكم ل نلقي نظرة، على سبيل المثال، في هذا URL، والذي أود أن نخلي أنا فعلا حاولت ذلك هذا الصباح. كتبت السيناريو قليلا، وضعها في هذا URL، زار مع بلدي فيريزون بعد تشغيل الهاتف المحمول واي فاي قبالة. بحيث يكون لديك لتحويل واي فاي قبالة بحيث كنت تستخدم الجيل الثالث 3G أو LTE أو ما شابه ذلك. ومن ثم، إذا قمت بزيارة هذا URL، كل هذا السيناريو هل ليا رفاق، إذا كنت ترغب في اللعب، وكان يبصق ما HTTP رؤوس هاتفك يرسل إلى الخادم. وأنا في الواقع، حدث في الإنصاف، لا نرى هذا صباح هذا اليوم، والتي يجعلني أعتقد إما المحلي برج الهاتف المحمول عن ارتباطي أو هتنوت لا تفعل ذلك، أو أنهم أبلوا تراجعت للقيام بذلك مؤقتا. ولكن لمزيد من المعلومات، التوجه الى هذا الرابط هنا. 

والآن إلى هذه this-- كوميدي قد يكون له معنى. لا؟ موافق. حسنا. أن توفي. حسنا. 

لذلك دعونا نلقي نظرة على اثنين من أكثر هجمات، إلا إذا كان لرفع الوعي ثم تقدم زوجين الحلول الممكنة بحيث كنت أكثر إدراكا جميع. هذا واحد تحدثنا عن الآخر اليوم، ولكن لم يعط اسما لها. انها طلب التزوير عبر الموقع، والتي هو وسيلة يتوهم مفرط للقول يمكنك خداع المستخدم إلى النقر على عنوان URL مثل هذه، والتي حيل بينها في بعض السلوك الذي انهم لا يعتزمون. 

في هذه الحالة، وهذا يبدو لتكون محاولة لخداع لي إلى بيع أسهم بلدي من جوجل. وهذا سوف تنجح إذا أنا مبرمج من pset7، لم تفعل ماذا؟ أو بالأحرى، بصورة عامة، في ما الحالات أنا عرضة للهجوم إذا حيل شخص مستخدم آخر إلى النقر على رابط مثل هذا؟ نعم؟ 

الجمهور: أنت لا تفرق بين GET و POST. 

ديفيد جيه مالان: جيد. إذا كنا لا نميز بين GET و POST، وبالفعل، إذا سمحنا ل الحصول على لبيع الأشياء، نحن دعوة هذا النوع من الهجوم. لكننا يمكن أن تزال التخفيف إلى حد ما. وعلق لي، كما أعتقد، الاسبوع الماضي ان الأمازون على الأقل يحاول تخفيف هذه مع تقنية هذا هو بسيط جدا. ما من شأنه شيئا الذكية للقيام تكون على الخادم الخاص بك، بدلا من مجرد بيع عمياء أيا كان رمزا أنواع المستخدم في؟ الجمهور: التأكيد من نوع؟ ديفيد جيه مالان: شاشة تأكيد، شيء تنطوي على التفاعل البشري بحيث أجد نفسي مجبرا على إجراء المكالمة الحكم، حتى لو قمت بالضغط بسذاجة رابط يشبه هذا وقادني إلى شاشة الخليوي، في الأقل سألني لتأكيد أو نفي. ولكن ليس هجوما غير المألوف، وخاصة في ما يسمى التصيد أو مثل البريد المزعج الهجمات. 

الآن، هذا واحد هو أكثر من ذلك بقليل خفية. وهذا هو الهجوم البرمجة النصية للمواقع المشتركة. ويحدث هذا إذا كان لديك موقع لا يستخدم أي ما يعادل htmlspecialchars. وانها تتخذ إدخال المستخدم وعادل عمياء حقنه في صفحة الويب، كما هو الحال مع الطباعة أو صدى، with-- again-- من الدعوة شيء مثل htmlspecialchars. 

لذلك نفترض الموقع في السؤال هو vulnerable.com. ونفترض أنها تقبل معلمة تدعى س. ننظر إلى ما يمكن أن يحدث إذا أنا في الواقع، رجل سيء، اكتب أو خداع المستخدم في زيارة URL التي تبدو وكأنها this-- س = علامة النصي مفتوحة، أغلق علامة النصي. ومرة أخرى، أفترض أن vulnerable.com ليس الذهاب لتحويل خطير شخصيات مثل الأقواس المفتوحة إلى كيانات HTML، و العطف، L-T، الشيء منقوطة ان كنت قد رأيت من قبل. 

ولكن ما هو السيناريو أو شفرة جافا سكريبت أحاول خداع و المستخدم في تنفيذ؟ كذلك، يشير document.location العنوان الحالي لمتصفحي. لذلك إذا كنت تفعل document.location =، هذا يتيح لي الفرصة لإعادة توجيه المستخدم في جافا سكريبت لموقع آخر. انها مثل وظيفة PHP لدينا إعادة توجيه، ولكن عمله في جافا سكريبت. 

حيث أحاول أن يرسل المستخدم؟ حسنا، على ما يبدو، badguy.com/log.php، وهو بعض النصي، على ما يبدو، كتب سيء، أن يأخذ معلمة يسمى الكعكة. 

والإشعار، ما يمكنني يبدو أن وصل على نهاية ذلك علامة المساواة؟ حسنا، شيء يقول document.cookie. نحن لم نتحدث عن هذا. ولكن تبين، في جافا سكريبت، مثلما هو الحال في PHP، يمكنك الوصول إلى كافة ملفات تعريف الارتباط أن المتصفح هو في الواقع تستخدم. 

لذلك من تأثير هذا واحد سطر من التعليمات البرمجية، إذا كان المستخدم ومن غرر النقر على هذا الرابط وموقع vulnerable.com لا الهرب مع htmlspecialchars، هو أن لديك فقط على نحو فعال تحميلها على log.php جميع الكوكيز الخاصة بك. وهذا ليس دائما أن إشكالية، إلا إذا كان واحد من تلك الكوكيز معرفك الدورة، الخاصة بك ما يسمى ختم اليد، والتي يعني badguy.com يمكن جعل حضارته طلبات HTTP، وإرسال تلك اليد ذاتها ختم، أن رأس الكوكي نفسه، وتسجيل الدخول إلى أي موقع ويب هل كانوا يزورون، والتي في هذه الحالة هي vulnerable.com. انها البرمجة النصية للمواقع المشتركة هجوم بالمعنى أن كنت نوع من خداع موقع واحد في قول موقع آخر عن بعض المعلومات فإنه لا ينبغي، في الواقع، من الوصول إليها. 

كل الحق، وعلى استعداد لواحد آخر التفاصيل مثيرة للقلق؟ كل الحق، والعالم هو مكان مخيف، لذلك شرعيا. وهنا بسيطة مثال جافا سكريبت هذا في الكود المصدري اليوم دعت تحديد الموقع الجغرافي 0 و 1. وهناك زوجين المواضيع الإرشادية على الانترنت لهذا الغرض. 

وأنه يفعل ما يلي إذا أنا فتح صفحة ويب هذه في كروم. لأول مرة لا يفعل شيئا. حسنا، سنحاول هذا مرة أخرى. أوه. لا، يجب أن نفعل شيئا. موافق، والوقوف من قبل. 

دعونا نحاول هذا مرة أخرى. [غير مسموع] آه، حسنا، لا يدري لماذا the-- يا والأجهزة ربما فقدت الانترنت الوصول لسبب ما. كل الحق، يحدث ذلك لي أيضا. 

كل الحق، حتى إشعار ما الذي يحدث هنا. هذا خفي المظهر URL، والتي هي واحدة فقط من الخادم CS50، يريد استخدام جهاز الكمبيوتر الخاص بي ل موقع، مثل بدنيا وهو ما يعني. وإذا كانت، في الواقع، كنت اضغط على سماح، دعونا نرى ما سيحدث. على ما يبدو، وهذا هو بلدي العرض الحالي وينسق طولية أسفل إلى قرار جميلة الرتق جيدة. 

فكيف لم أحصل على هذا؟ كيف هذا الموقع، مثل الخادم CS50، تعرف بدنيا مكان في العالم أنا، ناهيك مع أن الدقة. كذلك، تبين out-- دعونا فقط ننظر source-- للصفحة أن هنا هو مجموعة من HTML في القاع الذي لديه أولا this-- ONLOAD الجسم = "تحديد الموقع الجغرافي" - مجرد وظيفة كتبت. 

وأنا أقول، على تحميل الصفحة يدعو تحديد الموقع الجغرافي. ومن ثم لا يوجد شيء في الجسم، ل في رأس الصفحة، لاحظت ما لدي هنا. وهنا لي وظيفة تحديد الموقع الجغرافي. وهذه ليست سوى بعض الخطأ checking-- إذا كان نوع من navigator.geolocation ليس غير معروف. لذلك جافا سكريبت لديه هذا آلية أين أنت يمكن القول، ما هو نوع هذا المتغير؟ وإذا لم يكن undefined-- هذا يعني أنه غير بعض value-- انا ذاهب للاتصال navigator.geolocation.getCurrentPosition ثم رد. 

ما هذا؟ ذلك بشكل عام، ما هو رد، لمجرد أن يكون واضحا؟ كنت قد واجهت هذا بالفعل في pset8. رد هو لعامة مصطلح لفعل ماذا؟ يشعر وكأنه مجرد لي اليوم. الجمهور: [غير مسموع]. ديفيد جيه مالان: بالضبط، الوظيفة التي ينبغي أن يطلق فقط عندما يكون لدينا بيانات. هذه الدعوة إلى المتصفح، والحصول على بلدي الحالي موقف، قد يستغرق ملي ثانية واحدة، قد يستغرق دقيقة واحدة. ما يعنيه هذا هو أننا نقول طريقة الحصول على getCurrentPosition، استدعاء هذه الدالة رد، أنا الذي اسمه حرفيا رد عن البساطة التي على ما يبدو هو هذا واحد هنا. 

والطريقة التي يعمل getCurrentPosition، ببساطة من خلال قراءة الوثائق بالنسبة لبعض شفرة جافا سكريبت على شبكة الإنترنت، هو أنه يدعو أن ما يسمى رد وظيفة، يمررها إلى انها كائن جافا سكريبت، داخل وهو .coords.latitude و.coords.longitude، وهو بالضبط كيف، إذن، عندما كنت إعادة تحميل هذه الصفحة، وكنت قادرا على رؤية موقعي هنا. الآن، على الأقل كان هناك دفاع هنا. قبل زرت هذه الصفحة، عندما عملت في الواقع، ما أنا على الأقل دفعت عنه؟ 

الجمهور: [غير مسموع]. 

ديفيد جيه مالان: نعم أو no-- تفعل كنت ترغب في السماح أو نفي هذا؟ ولكن أعتقد، أيضا، عن عادات وربما اعتمدت يا رفاق، سواء على الهواتف الخاصة بك والمتصفحات. الكثير منا، نفسي وشملت، على الأرجح ميالا جدا هذه days-- لك رؤية المنبثقة، فقط أدخل، موافق، الموافقة، سماح. وعلى نحو متزايد، يمكنك وضع نفسك في خطر لهذه الأسباب. 

حتى في الواقع، كان هناك هذا الخطأ رائع بضع سنوات ago-- أو عدم feature-- ان اي تيونز كان قبل بضع سنوات، حيث، إذا كان لديك الهاتف الخليوي، وكان جهاز iPhone، وتركت منزلك ومن ثم سافر حول العالم أو الحي، كل هذا الوقت، الهاتف تم قطع الأشجار أين أنت عن طريق GPS. ويتم الإفصاح عن هذه الحقيقة، والناس يتوقعون هذا النوع من الآن. هاتفك يعرف أين أنت. ولكن المشكلة هي أن، عندما كنت النسخ الاحتياطي هاتفك إلى iTunes-- كان هذا قبل أيام iCloud، التي هي للأفضل أو لworse-- كان يجري تخزين البيانات في اي تيونز، وغير مشفرة تماما. حتى إذا كان لديك عائلة أو غرفهم أو جارة خبيثة من هو غريبة عن كل حرفيا GPS تنسيق ديك أي وقت مضى ل، انه أو انها يمكن فقط الجلوس في اي تيونز، وتشغيل بعض البرامج التي كانت بحرية المتاحة، وإنتاج الخرائط من هذا القبيل. 

في الواقع، وهذا هو ما أنا تنتج من هاتفي الخاص. أنا توصيله. ويبدو، استنادا على النقاط الزرقاء هناك، حيث ان معظم وكانت إحداثيات GPS تم تسجيلها من قبل اي تيونز بأنني وكان هناك في الشمال الشرقي. لكنني على ما يبدو سافر حول قليلا، حتى داخل ولاية ماساشوستس. 

ذلك أن ميناء بوسطن هناك على اليمين. هذا النوع من كامبريدج و بوسطن، حيث انها أظلم. وأحيانا، وأود أن تشغيل المهمات لجغرافية أوسع. 

ولكن اي تيونز، لسنوات، وكان، كما أفضل يمكنني أن أقول، كل هذه البيانات على لي. هل يمكن أن أقول ذلك، في تلك السنة، وكنت في الواقع يسافر كثيرا بين بوسطن ونيويورك، ذهابا وإيابا وجيئة وذهابا. وبالفعل، هذا هو لي على شركة امتراك، والعودة وإيابا، ذهابا وإيابا، قليلا جدا. ويتم تسجيل كل ذلك و تخزينها مشفرة على جهاز الكمبيوتر الخاص بي لمن قد يكون الوصول إلى جهاز الكمبيوتر الخاص بي. 

وكان هذا مثير للقلق. لم أكن أعرف لماذا كنت في ولاية بنسلفانيا أو لماذا كان هاتفي في ولاية بنسلفانيا، يبدو مكتظة إلى حد ما. ومن ثم، أخيرا، نظرت في بلدي Gcal، و، أوه، أنا زار جامعة كارنيجي ميلون، جامعة كارنيجي ميلون، في ذلك الوقت. وتفو، هذا النوع من وأوضح أن مضة. ومن ثم، إذا كنت تكبير من أبعد من ذلك، يمكنك رؤية زرت سان فرانسيسكو واحد أو أكثر من مرة بعد ذلك، وحتى كان لي ما توقف في أعتقد أنه لاس بانخفاض هناك. لذلك كل من this-- فقط توقف في المطار. 

الجمهور: [ضحك] 

لذلك هذا هو فقط أن أقول أن هذه مشاكل، بصراحة، هي منتشرة في كل مكان. وأنه يشعر فقط أحب متزايد هناك المزيد والمزيد من هذا يجري الكشف عنها، والتي من المحتمل ان يكون شيء جيد. نحسب أن العالم ليس تزداد سوءا في كتابة البرامج. نحن نحصل على الأفضل، نأمل، في أن يلاحظ بعض البرامج كيف سيئة هو الذي نستخدمه. والحمد لله، وبعض الشركات بدأت للمساءلة عن هذا. 

ولكن ما هي أنواع الدفاعات هل يمكن أن يكون في الاعتبار؟ ذلك إلى جانب مديري كلمة السر، مثل و1Password لاست باس وغيره، إلى جانب مجرد تغيير كلمات السر الخاصة بك والخروج بأخرى عشوائية استخدام برامج مثل ذلك، يمكنك أيضا محاولة أفضل ما يمكنك تشفير كل حركة المرور الخاصة بك على الأقل تضييق منطقة تهديدا. هكذا على سبيل المثال، والشركات التابعة لها في جامعة هارفارد، يمكنك الذهاب إلى جميع vpn.harvard.edu وتسجيل الدخول باستخدام معرف هارفارد وPIN الخاص بك. وهذا سوف إنشاء أمنا اتصال بينك وبين جامعة هارفارد. 

الآن، وهذا لا بالضرورة حمايتك ضد أي تهديدات التي هي بين هارفارد والفيسبوك أو هارفارد و Gmail. ولكن إذا كنت جالسا في المطار أو كنت الجلوس في ستاربكس أو كنت الجلوس في مكان أحد الأصدقاء، وكنت لا تثق حقا لهم أو بهم تكوين جهاز التوجيه وطنهم، على الأقل يمكنك إنشاء اتصال آمن إلى كيان مثل هذا المكان الذي هو ربما أفضل قليلا المضمون من شيء من هذا القبيل ستاربكس أو ما شابه ذلك. وهذا ما يفعله هو أنها تضع، ​​ومرة ​​أخرى، التشفير بينك وبين نقطة النهاية. 

حتى مربي الحيوانات أشياء من هذا القبيل. وحتى بعض منكم قد سبق يكون على دراية تور، وهو هذا النوع من إخفاء الهوية شبكة، حيث الكثير من الناس، إذا كانت تشغيل هذا البرنامج، والطريق في وقت لاحق من الانترنت حركة المرور من خلال بعضها البعض. حتى هذه النقطة هي أقصر لم يعد بين A و B. ولكن قد يكون في جميع أنحاء وضع بحيث كنت أساسا تغطي مسارات واحد وترك أقل من مستوى قياسي إلى أين HTTP الخاص بك وجاءت حركة المرور من، لأنه يجري من خلال مجموعة كاملة من الناس على أخرى أجهزة الكمبيوتر المحمولة أو المكتبية و للأفضل أو للأسوأ. 

ولكن حتى هذا ليس شيئا مؤكدة النجاح. قد يتذكر البعض منكم العام الماضي ذعر القنبلة التي كانت تسمى في. ويعزى ذلك في نهاية المطاف إلى المستخدمين الذين استخدموا هذه الشبكة هنا. والصيد هناك، على ما أذكر، هو، إذا لم تكن هناك أن العديد من الأشخاص الآخرين باستخدام البرمجيات مثل هذا أو استخدام هذا الميناء وبروتوكول، انها ليست من الصعب للشبكة حتى ل معرفة الذين، مع بعض الاحتمالات، كان في الواقع إخفاء الهوية له أو لها حركة المرور. 

وأنا لا أعرف ما إذا كانت تلك التفاصيل الفعلية في السؤال. ولكن بالتأكيد، ندرك أن أيا من هذه هي الحلول مؤكدة النجاح، كذلك. والهدف هنا اليوم هو الأقل تحصل على التفكير في هذه الأمور والخروج مع تقنيات ل الدفاع عن نفسك ضدهم. أي أسئلة على جميع التهديدات التي تنتظرك هناك، وهنا؟ نعم؟ الجمهور: كيف آمن به نتوقع المتوسط [؟ الموقع ليكون، و؟] مثل مشروع متوسط ​​CS50؟ 

ديفيد جيه مالان: و متوسط ​​مشروع CS50؟ يثبت دائما أنه في كل عام أن بعض المشاريع النهائية CS50 لا آمنة بشكل خاص. عادة، انها بعض الحجرة أو hallmate أن هذه الأرقام من عن طريق إرسال طلبات إلى المشروع. 

answer-- باختصار كم المواقع هي آمنة؟ أنا يركزون على الشذوذ اليوم. مثل ذلك كان مجرد مصادفة التي أدركت أن هذا الموقع لقد تم ترتيب هذه بصراحة ترتيبات لذيذة from-- وأنا لست متأكدا من أنني سوف أكون التوقف عن استخدام موقعه على الانترنت. وأود أن مجرد تغيير بلدي كلمة السر أكثر regularly-- ليس من الواضح تماما كيف عرضة لكل هذه various-- هذا هو في الواقع المغطاة الشوكولاته. الجواب القصير، لا أستطيع الإجابة على ذلك على نحو فعال، بخلاف أن أقول ذلك لم يكن من الصعب بالنسبة لي ل العثور على بعض هذه الأمثلة فقط من أجل المناقشة في المحاضرة. ومجرد إبقاء العين على أخبار جوجل وغيرها من الموارد سوف يجلب جميع أكثر من هذه الأنواع من الأشياء للضوء. 

كل الحق، دعونا نخلص مع هذا برقول أن فريق CS50 قد أعد لك تحسبا لCS50 هاكاثون. وعلى طريقك للخروج في لحظة، وسيتم تقديم الفاكهة. [تشغيل الفيديو] [موسيقى فيرغي، س TIP، وGOONROCK "، و LITTLE PARTY قتلت أحدا أبدا (ALL WE GOT) "] 

- [الشخير] [END تشغيل الفيديو] ديفيد جيه مالان: هذا كل شيء لCS50. سنرى لك يوم الاربعاء. [MUSIC - سكريليكس "IMMA" جربه "]