Дэвід Дж Малання: Гэта CS50, і гэта пачатак тыдня 10. Вы можаце ўспомніць, што мы паказалі на экране 3D друкаркі, які гэта прылада, займае шпулькі пластыка а затым выціскае яе пры награванні яго і плаўлення яго так, што мы можам тады сфармаваць войска Чанг з Сланы, напрыклад. Так у Леверетта Дом, тым не менш, у апошні час, я балбатаў з адным з вашых аднакласнікі і сябар Чанг па імя Мішэль, які на самай справе інтэрнаваны ў гэта іншая кампанія ў мінулым годзе, што мае іншую тэхніку для фактычна стварэнне трохмерных аб'ектаў, як гэты малюсенькі невялікі слана тут. У прыватнасці, тое, як гэта працуе з'яўляецца тое, што гэта прыклад таго, што называецца стереолитография, у выніку чаго ёсць гэты басейн смалы або вадкасці, а затым лазерны дзівіць, што вадкасць, і паступова, прылада пад'ёмнікі і ліфты і пад'ёмнікі рэч што вы друкуеце, як слон, як вадкасць становіцца цвёрдым. І вынік, на самай справе, з'яўляецца тое, што гэта значна больш надзейнымі, чым некаторыя з пластык Падарункамі некаторыя з вас магчыма, мелі. І тое, што Чанг ласкава зрабіў для нас тут быў зрабіў пакадравай выкарыстоўваючы фатаграфіі на працягу гадзіны ці больш, верагодна, каб вырабіць гэты хлопец тут. Быў бы хтосьці, хто ніколі не дайшлі да хацеў прыехаць ўдарыў Пуск на гэтым відэа? Дазвольце мне пайсці з, як аб там. Давай да. Добра. І вы? ЛУКА: Люк Мяне клічуць [неразборліва]. Дэвід Дж Малання: Прывітанне, Люк. Прыемна пазнаёміцца. ЛУКА: Прыемна пазнаёміцца. АЎДЫТОРЫЯ: Ён працуе для UC. Дэвід Дж Малання: Я ведаю, мы спрабуем не развіваць. Добра, так Лукі, усе што вам трэба зрабіць тут, у CS50 хіт прабел друкаваць гэтую слана. [ВИДЕОВОСПРОИЗВЕДЕНИЕ] - [МАШЫНА гудзенне] - [CRASH] - [BOOM] - [CRASH] [END ВИДЕОВОСПРОИЗВЕДЕНИЕ] Дэвід Дж Малання: Так што гэта дакладна на што гэта паходзіць, каб 3D-друку. І вось ваш слон. Дзякуй за добраахвотніцтва. Добра. Такім чынам, яшчэ раз, у адпаведнасці са спецыфікацыяй для Канчатковы праект, гэта абсталяванне, гэта даступныя для вас, хлопцы гэта, па некаторых прычынах, Ваш праект мае некаторыя перасячэння праграмнага і апаратнага забеспячэння, разумею, што гэта цяпер рэсурсы. Я хацеў узяць адзін момант дакрануцца на артыкуле пунсовага, які выйшаў учора позна вечарам, які быў у паведаміць, што гэты хлопец тут, Давіда Джонсан, які быў старэйшым настаўніка для Ес 10 на працягу досыць доўгага часу, пакідае Гарвард на Канец навучальнага года. І я проста хацеў скарыстацца момантам, калі шчыра, падзякаваць Дэвіда перад CS50. Ён быў настаўнікам віды на нас на працягу многіх гадоў. І я адчуваю, што мы, CS50, ёсць а выраслі з Ес 10 тут, так як яны проста перад намі. І ён, і уся каманда ў Ес 10 мае быў дзіўна добрым, шчыра кажучы, як мы цягнуць у ўсё наша абсталяванне кожны тыдзень, і гадоў назад, пры ўмове, вялікая адваката, паколькі мы былі цікава, як яны працуюць Ес 10. Такім чынам, нашы падзяку і захапленне Дэвід Джонсан. [Апладысменты] Зараз, unrelatedly, так канец сапраўды блізкі. Мы тут, у тыдзень 10. І ў нас ёсць толькі толькі пара фармальных тыдняў тут у класе засталося, а затым на пару падзей. Такім чынам, каб даць вам адчуванне таго, што гэта на гарызонце, мы тут сёння. У гэтую сераду, нагадаем, мы будзем мець з гасцявой лекцыяй не хто іншы, Microsoft, самастойна Стыў Балмер. Калі вы яшчэ не сышлі ў cs50.harvard.edu/register, зрабіць гэта, так як прастора будзе абмежаваны. І яны будуць правяраць Ідэнтыфікатары ў дзверы гэты дзень. Калі вы не былі тут На мінулым тыдні, я думаў, што я дражніць вас з іншым поглядам на Стыва і хваляванне, што нас чакае ў сераду. [ВИДЕОВОСПРОИЗВЕДЕНИЕ] -Passion. -Мы Будзе hardcore-- хардкор. -Innovator. -Билл Сказаў, вы не атрымаеце яго. Мы збіраемся паставіць кампутар на кожным стале і ў кожным доме, які стаў Дэвіз для кампаніі. Клянуся, Біл прыдумаў у тую ноч, каб сапраўды даць мне некаторыя з бачання Таму я павінен сказаць, так. Я ніколі не азіраўся назад, сапраўды, пасля гэтага. -Fresh З каледжа, ён далучыўся да зараджаецца стартап і дапамог яму вырасці ў аднаго з Амерыкі большасць паспяховых прадпрыемстваў калі-небудзь. Жыццё і бізнес ўрокі па шляху хай яго назад у яго дзяцінства запал і любоў. І гэтыя досведы падрыхтавалі яму за яго наступны выклік у жыцці. -Нічога Атрымлівае ў нашай way-- бум! Трымаеце прыходзіць хардкор! Перайсці Кліпэрз! -Гэта Стыў Балмер, "In My Own Words". [END ВИДЕОВОСПРОИЗВЕДЕНИЕ] Дэвід Дж Малання: --this Асяроддзе для CS50. Галава зноў у гэты URL тут. Што тычыцца таго, што яшчэ на гарызонце, на наступным тыдні, не лекцыя ў панядзелак. Але мы будзем сачыць, што па віктарыне аднаго ў сераду. Перайсці на галоўную старонку CS50 за атрыманнем падрабязнай інфармацыі на людзях, месцах, і раз для ўсіх розных proctoring лагістыка і да т.п., а таксама аб разглядзе сесій, якія яшчэ трэба будзе правесці. А потым, нарэшце, у панядзелак, у дзень да тыдня перапынку Падзякі, разумею, што гэта будзе наш канчатковы даклад. Мы будзем служыць торт і вялікі Здзелка хвалявання, мы спадзяемся. Цяпер, некалькі іншых абнаўленняў. Майце на ўвазе, што статус Справаздача, які на самай справе проста значыць быць выпадковым ўзаемадзеянне з TF з гонарам заявіць толькі як далёка з вашым Канчатковы праект вы, ці, па меншай меры, як здаровае пераканайцеся, што вы павінны набліжаецца, што паказваюць неўзабаве пасля гэтага. Hackathon то вынікае, што. Усвядомце Hackathon ня магчымасць каб пачаць свой канчатковы праект, але прызначаецца, каб быць магчымасць каб быць у сярэдзіне або да канец вашай канчатковага праекта, з ажыццяўленнем належнага некалькі дзён, пасля чаго CS50 выставе. Зараз, вытворчасць CS50 ў Каманда, пару гадоў таму, сабраць галаваломку для CS50 кірмашы, што мы думаў, што мы пакажам вам, сёння, бо яны старанна працавалі на прыквел да што, новы відэа што мы завершым сёння з. Але вось, што чакае вас для гэтага года CS50 кірмашы. [ВИДЕОВОСПРОИЗВЕДЕНИЕ] - [CELL тэлефон тэлефануе] [MUSIC "тэма з Місія невыканальная"] [END ВИДЕОВОСПРОИЗВЕДЕНИЕ] Дэвід Дж Малання: Так што гэта дакладна, як мы закрываем заключныя прадстаўлення праекта. Пару цяпер teasers-- калі Вы хацелі б далучыцца да Ніку тут на абед, як звычайна, гэта Пятніца, накіравацца ў гэтым URL тут. Акрамя таго, калі вы хочаце далучыцца да Ніку ці гэты Ніка ці гэта Allison або любы Члены каманды CS50 ў, разумею, што, у бліжэйшы час пасля заканчэння тэрміну, CS50 будзе ўжо на працу для каманды на наступны год, для сертыфікацыі, ТФ, дызайнеры, вытворцы, даследчыкі і іншыя пазіцыі што тут працуюць CS50 і ў Фронт і за кулісамі. Так што, калі гэта можа быць цікава Вам, скіравацца ў гэтым URL тут. І студэнты больш зручныя, менш камфортна, і дзе-то ў паміж так усё вітаецца і прапануецца ўжываць. Так было ідэальны час, што, ня жарт, сёння раніцай, калі я прачнуўся, У мяне быў такі вось спам у паштовай скрыні. Гэта на самай справе паслізнуўся праз спам-фільтр у Gmail як-то і апынуўся ў маёй рэальнай скрыні. І гэта кажа, "Дарагі паведамлення Карыстальнік, Вы знаходзіцеся ў дадзены момант павышаны да 4 гігабайт прасторы. Калі ласка, ўвайдзіце ў свой рахунак для таго, каб праверыць электронную прастору ". А тут яшчэ гэты добры сіні павабныя спасылка там націснуць на для выкладчыкаў і супрацоўнікаў, якія затым прывялі мяне да цудоўна законнай старонцы, якая папрасіў мяне даць ім сваё імя і адрас электроннай пошты і, вядома, пароль для пацверджання хто я і так далей. Але, вядома, як гэта заўсёды бывае, Вы прыбывае на гэтай старонцы пасадкі, і, вядома, ёсць па меншай меры, адзін памылка друку, які, здаецца, цвік у труну любога з гэтых махляроў. І мы размесцім, магчыма, некаторыя іншыя Спасылкі на гэтыя віды скрыншотаў ў будучыні. Але будзем спадзявацца, што большасць людзей у Гэты нумар не clicked-- ці нават калі вы націснулі такія спасылкі, як гэта, Вы не зайшлі так далёка, каб запоўніць гэтыя формы і гэтак далей. На самай справе, усё ў парадку, калі ў вас ёсць. Мы пастараемся выправіць гэта сёння, таму што, Сапраўды, сённяшняя гутарка аб бяспецы. І на самай справе, адзін з Мэты CS50 ня так шмат, каб навучыць вас CE або PHP або JavaScript або SQL або любой з іх, якая ляжыць у аснове Дэталі рэалізацыі. Але гэта для пашырэння магчымасцяў вам як людзі проста прымаць больш узважаныя рашэнні, як гэта ставіцца да тэхналогіі ўніз Дарога, так што, будзь вы інжынер або гуманіст або навуковец або любы іншы ролі, Вы робіце абгрунтаваныя рашэнні аб сваім выкарыстання вылічальнай, або калі вы знаходзіцеся ў прыняцця рашэнняў пазіцыю, у палітыцы, у прыватнасці, Вы робіце шмат, значна лепшыя рашэнні, чым Шмат людзей сёння былі. І мы будзем рабіць гэта, спосаб некалькі прыкладаў. Па-першае, я быў вельмі здзіўлены Нядаўна выявіць наступнае. Так пароляў, вядома, гэта тое, што большасць з нас выкарыстоўваць, каб абараніць нашу data-- электроннай пошты, чатаў, і ўсе віды рэсурсаў, як, што. І толькі па awkward-- не паказваюць з рукі, але бянтэжыла знешнасць сораму, як многія з вас выкарыстоўваць той жа пароль ў вялікай колькасці розных вэб-сайтаў? О, добра, так што мы будзем рабіць сваімі рукамі. Такім чынам, многія з вас зрабіць. Той, хто робіць гэта, толькі навошта? А што? Так? АЎДЫТОРЫЯ: Гэта лёгка запомніць, таму што Вы не павінны памятаць [неразборліва]. Дэвід Дж Малання: Так, гэта лёгка запомніць. Гэта цалкам разумна, рацыянальнае паводзіны, нават пры тым, што рызыка Вы ставіце сябе у гэтых выпадках з'яўляецца проста адзін або больш з гэтых сайтаў ўразлівы для ўзлому або небяспечна або пароль проста так па-чартоўску угадываемы, хто-небудзь можа зразумець гэта. Гэта не толькі адна уліковы запіс скампраметаваны, але ў тэорыі, любы рахункі ў вас ёсць у Інтэрнэце. Так што я ведаю, што я мог бы сказаць сёння, не выкарыстоўваць той жа пароль ўсюды, але, што значна лягчэй сказаць, чым зрабіць. Але ёсць метады змякчэння, што асаблівую заклапочанасць. Зараз, я, аказваецца, напрыклад, у выкарыстоўваць праграму 1Password. Іншы папулярны з іх завецца LastPass. І куча CS50 выкарыстання персаналу аднаго або больш з гэтых відаў інструментаў. І карацей кажучы, адзін вынас на сёння павінна быць, так, вы, магчыма, той жа пароль ўсюды, але гэта вельмі лёгка, каб больш не рабіць гэтага. Напрыклад, у гэтыя дні, я ведаю, можа быць, адзін з маіх дзясяткаў або сотняў пароляў. Усе мае іншыя паролі з'яўляюцца псеўдавыпадковых спароджаная адной з гэтых праграм тут. І ў двух словах, і нават хоць большасць з гэтых праграм як правіла, прыходзяць з невялікім колькасцю кошту, Вы б ўсталяваць праграму, як гэта, Вы б тады захоўваць усе Вашы імёны карыстальнікаў і паролі ўнутры гэтай праграмы на самастойна Mac ці PC ці яшчэ шмат чаго, і тады было б ў зашыфраваным выглядзе на вашым кампутары з таго, што, мы спадзяемся, асабліва доўгі пароль. Так што ў мяне цэлы букет паролі для асобных вэб-сайтаў, і тады я сапраўды доўгі пароль, які я выкарыстоўваць, каб разблакаваць усе тыя іншыя паролі. І тое, што прыемна пра праграмнае забеспячэнне, як гэта што, калі вы наведваеце вэб-сайт, што гэта з просьбай ўвесці імя карыстальніка і пароль, у гэтыя дні, я не ўводзіце ў маё імя карыстальніка і пароль, таму што, зноў жа, я нават не ведаю, што большасць маіх пароляў. Я замест ударыў клавіятуру Ярлык, вынікам якога гэта, каб выклікаць гэта праграмнае забеспячэнне для падкажыце мне для майго майстар-пароля. То я друкую, што адзін вялікі пароль, і затым браўзэра аўтаматычна запаўняе што мой пароль. Так сапраўды, калі вы не бераце нічога ад сёння ў плане пароляў, гэта праграмнае забеспячэнне, якое стаіць загрузкі або інвеставаць у так што вы можаце, па меншай меры перапынак што асабліва звычка. І калі вы тып гэта з дапамогай Post-It адзначае або like-- і шанцы па крайняй меры, адзін з вас is-- што звычка таксама досыць сказаць, павінна быць парушаная. Зараз, я выпадкова выявіць, у выніку выкарыстання праграмнага забеспячэння, наступнае. Я замаўляў ядомы Кампазіцыя, гэта кошык садавіны, нядаўна. І я стукнуўся спецыяльную клавіятуру Ярлык ўвайсці на сайт. І праграмнае забеспячэнне запускаецца ўсплывальнае што сказаў, ты ўпэўнены, што Вы хочаце, каб я аўтаматычна прадставіць гэтае імя карыстальніка і пароль? Паколькі злучэнне з'яўляецца бяспечным. Злучэнне ня з дапамогай HTTPS, для падстрахоўкі, выкарыстоўваючы гэты пратакол, вядомы як SSL, Secure Sockets Layer. І на самай справе, калі вы паглядзіце на ў левым верхнім куце гэтага сайта, гэта проста www.ediblearrangements.com, няма HTTPS, які не настолькі добры. Зараз, я быў curious-- можа быць, гэта гэта проста памылка ў праграмным забеспячэнні. Вядома, некаторыя вэб-сайт, як гэта што многія з нас ведаюць аб па меншай меры, з дапамогай шыфравання або HTTPS URL-адрасы для аўтарызацыі на. Так што я атрымаў крыху цікава сёння раніцай. І я атрымаў мае навыкі CS50, Я адкрыў Chrome інспектар. Гэта нават не вялікая частка майстэрства. Гэта проста клікніце правай клавіятуры ярлык для адкрыцця гэта. А вось вялікае акно інспектара Chrome. Але тое, што было на самай справе трохі трагічна і смешна былі гэтыя дзве лініі тут. Наверсе, звярніце ўвагу на URL да якія маё імя карыстальніка і пароль былі прадстаўлены. Дазвольце мне павялічыць. Менавіта гэта тут. І ўсё гэта роду нецікава, за рэч, за выключэннем цалкам на левая, якая пачынаецца з HTTP: //. І так то, добра, можа быць, яны проста даслаўшы маё імя карыстальніка, які з'яўляецца не такое ўжо вялікая справа. Можа быць, мой пароль пасылаецца пазней. Гэта было б свайго роду Цікава дызайнерскае рашэнне. Але няма. Калі вы затым паглядзець па просьбе Карысная нагрузка, імя карыстальніка і пароль Я sent-- і я здзекаваўся гэта кампенсаваць slide-- былі на самай справе паслаў у адкрытым выглядзе. Так вы ідзяце ў гэтым вэб-сайце, і замовіць Ядомыя Кампазіцыя, як гэта, і на самай справе, па-відаць, для ўсяго гэтага раз, калі я замаўляў ад іх, Ваша імя карыстальніка і пароль збіраецца сустрэць у адкрытым выглядзе. Так шчыра, гэта зусім непрымальна. І гэта так трывіяльна, каб пазбегнуць рэчы як гэта ў якасці дызайнера вэб-сайта і як праграміст вэб-сайта. Але вынас тут нам як карыстальнікам вэб-сайтаў проста зразумець, што ўсе ён прымае для аднаго дурнога дызайну Рашэнне, апраўдання дызайнерскае рашэнне, так што цяпер, калі вы ведаеце, мой пароль "Малінавы" на гэта сайт, вы, верагодна, толькі што ў цэлай кучай іншыя сайты, якія я зараз маюць. І там не так шмат абарона супраць гэтага акрамя таго, што Чан зрабіў сёння раніцай. Ён адправіўся ў харчовых мерах, якія размешчаны па вуліцы ў Кембрыджы, і фізічна купіў гэта для нас. Гэта было значна больш бяспечным, чым Выкарыстоўваючы вэб-сайт у гэтым выпадку. Але дэталь, каб сачыць за на самой справе тое, што ў верхняй браўзэра да ёсць. Але нават тое, што можа быць трохі зманлівая. Так яшчэ адзін цікавы прыклад і спосаб абароны супраць this-- і фактычна, давайце у, што first-- шлях абароны супраць гэта тэхніка што людзі бяспекі будзе называюць двухфакторную аўтэнтыфікацыі. Хто-небудзь ведае, што такое рашэнне да праблем, як гэта азначае? Што двухфакторную аўтэнтыфікацыі? Ці, іншымі словамі, як многія з вас яго выкарыстоўваць? Такім чынам, пару нясмелых людзей. Але так. Я бачыў вашы рукі ўверх. Што двухфакторную аўтэнтыфікацыі? АЎДЫТОРЫЯ: У прынцыпе, у дадатак для ўводу вашага паролю Вы таксама маюць сярэднюю [неразборліва] адпраўлена з дапамогай тэкставых паведамленняў на тэлефон у [неразборліва]. Дэвід Дж Малання: Цалкам дакладна. У дадатак да нейкай форме першаснага аўтэнтыфікацыі, як пароль, Вы папрасілі другасны фактарам, які, як правіла, што-то ў вас ёсць фізічна на вас, хоць гэта можа быць зусім іншае. І што самае звычайна Мабільны тэлефон у гэтыя дні, на якія вы атрымліваеце адпраўлена часовы тэкставае паведамленне, якое кажа "Ваш часовы код перавал 12345." Такім чынам, у дадатак да маіх пароль "малінавы", я таксама павінны ўвесці ўсе вэб-сайт напісаў мне. Або калі ў вас ёсць гэта з банк або інвестыцыйны рахунак, Вы часам гэтыя маленькія ключы, што на самай справе ёсць псеўдавыпадковых Лік генератар, убудаваны ў іх, але як прылада і банк ведаю, што ваш першапачатковы насеньне так, што яны ведаюць, як і трохі кода на вашай маленькай бірулькі маршы наперад кожную хвіліну ці два, змяняючы значэння, гэтак жа, што змяненне кошту на сэрвэры банка такім чынам, што яны могуць аналагічна аўтэнтыфікацыі Вы, не толькі з вашым паролем, але з гэтай часовай код. Зараз, вы можаце зрабіць гэта ў Google. І, шчыра кажучы, гэта добрая звычка, асабліва, калі вы карыстаецеся Gmail ўвесь час на браўзэры. Калі вы ідзяце ў гэты URL тут, што ў слайды онлайн на сённяшні дзень, а затым націсніце на 2 двухэтапную аўтэнтыфікацыю, ж фактычная рэч існуе. Вам будзе прапанавана даць ім ваш нумар мабільнага тэлефона. А потым, у любы час вы увайсці ў Gmail, вы будзеце не толькі папрасіў ваш пароль, але і для трохі код, які пасылаецца на ваш тэлефон часова. І да таго часу, як вы печыва уключаны, і да таго часу, пакуль вы не відавочна выйсці, вы будзеце мець толькі зрабіць што раз у некаторы час, напрыклад, калі вы сядайце на новым кампутары. І з ног тут таксама ёсць, калі вас сесці ў нейкі інтэрнэт-кафэ стылю Кампутар або проста кампутар аднаго, нават калі гэтага сябра зламысна або па няведанні мае некаторыя клавіятуры рэгістратар усталяваны на сваім кампутары, такім чынам, што ўсё, што вы тып заходу, Прынамсі, другі фактар, што часовы код, эфемерна. Такім чынам, ён ці яна, ці хто гэта скампраметаваная кампутар ня можа ўвайсьці ў вас пасля, нават калі ўсё астатняе быў уразлівы ці нават ў незашыфраваным выглядзе ў цэлым. Facebook ёсць гэта таксама, з гэтай URL тут, дзе вы можаце націснуць на Уваход сцвярджэнняў. Так і тут, калі вы не хачу сябры тыкаць людзей, Вы не хочаце быць тыкаючы на ​​Facebook або размяшчаючы абнаўлення статусу для вас, двухфакторную аўтэнтыфікацыі Тут, верагодна, добрая рэч. А тут яшчэ гэты Іншы метад наогул, проста аўдыт, які яшчэ добрая рэч для нас, людзей, калі двухфакторную даказвае раздражняе, што, па агульным прызнанні, ён можа, ці гэта проста не даступна на нейкі сайт, мінімальна сачыць за, калі і калі Вы ўваходзе ў сайтах, калі яны дазволіць Вам, з'яўляецца добрым метадам, таксама. Так Facebook таксама дае гэта Уваход апавяшчэння аснашчаны, у выніку чаго у любы час Facebook разумее, хм, Дэвід мае якія ўвайшлі ў сістэму з якой-то кампутар або тэлефон што мы ніколі не бачылі раней ад IP-адрас, які выглядае незнаёмым, яны, па меншай меры адправіць вам па электроннай пошце, каб які-небудзь адрас электроннай пошты ў вас ёсць на файле, сказаўшы, гэта выглядае падазрона? Калі гэта так, адразу ж змяніць пароль. І так там таксама, проста паводзіны аўдыт нават пасля таго як вы былі парушаная, можа, па меншай меры звузіць акно ва якія вы ўразлівыя. Добра, нейкія пытанні на той матэрыял да гэтага часу? Сёння дзень, каб атрымаць усе Ваш параноя пацверджаны або абвергнутыя. Вось у асноўным пацвердзілі, на жаль. Так? АЎДЫТОРЫЯ: [неразборліва] тэлефон, што рабіць, калі вашы тэлефонныя перапынкаў, і то гэта заўсёды цяжка verify-- Дэвід Дж Малання: Праўда. АЎДЫТОРЫЯ: Ці, калі вы знаходзіцеся ў іншай краіна, і яны не дазваляюць вам увайсці, таму што [неразборліва]. Дэвід Дж Малання: Абсалютна. І такім чынам, яны з'яўляюцца дадатковым выдаткі, якія вы панесяце. Там заўсёды гэтая тэма з кампраміс, у рэшце рэшт. А потым, калі вы страціце свой тэлефон, калі яна зламаецца, калі вы знаходзіцеся за мяжой, ці вы проста не хапае Сігнал, як 3G або LTE сігналу, Вы не маглі б на самай справе зможа праверыць сапраўднасць. Такім чынам, яшчэ раз, гэтыя два кампрамісы. А часам, гэта можа стварыць Шмат працы для вас у выніку. Але гэта залежыць, то, па што чаканы кошт для вас гэта пра што-то істоты парушаная цалкам. Так SSL, то, гэта тэхніка, якая ўсе мы, як правіла прымаюць як належнае або выказаць здагадку ёсць, нягледзячы на ​​тое, гэта відавочна не той выпадак. І вы ўсё яшчэ можаце ўвесці ў зман людзі, хоць, нават з гэтым. Дык вось прыклад з банка. Гэта Банк Амерыкі. Там цэлая куча гэтых у Гарвардскай плошчы і за яе межамі. І звярніце ўвагу, што, у самым версе экран, ёсць, сапраўды, HTTPS. І гэта нават зялёны і падкрэсліў для нас каб паказаць, што гэта сапраўды законна абаронены вэб-сайт, ці так мы вучылі верыць. Цяпер, апроч таго, што, тым не менш, заўважыць, што, калі мы набліжаць, ёсць гэтая рэч тут, дзе вам будзе прапанавана ўвайсці ў сістэму. Што гэта замак на ўвазе права там, побач з маім імем падкажа? Гэта даволі часта сустракаецца на сайтах таксама. Што гэта замак на ўвазе? Вы, здаецца, як вы ведаеце. АЎДЫТОРЫЯ: Гэта нічога не значыць. Дэвід Дж Малання: Гэта нічога не значыць. Гэта азначае, што Банк Амерыкі ведае, як напісаць HTML з малюнак пазнакі, праўда? Гэта сапраўды нічога не значыць, таму што нават мы, выкарыстоўваючы першы дзень нашага погляду у HTML, можна закадаваць да старонкі з чырвоны фон і малюнак, як GIF ці яшчэ шмат чаго, то то ён выглядае як вісячы замак. І ўсё ж, гэта супер распаўсюджаныя ў вэб-сайты, таму што мы вучылі лічыць, што, ох, замак азначае бяспечны, калі ён на самай справе проста азначае, што вы ведаеце HTML. Напрыклад, яшчэ ў дзень, я мог толькі паставіць гэта на маім сайце, сцвярджаючы, што гэта бяспечна, і пытацца, эфектыўна, для імёнаў карыстальнікаў і пароляў людзей. Так, гледзячы ў адрасе па меншай меры, лепшага ключ, таму што убудаваны ў Chrome або што-браўзэр вы выкарыстоўваеце. Але нават тады, часам усё можа пайсці не так. І на самай справе, вы не маглі б заўсёды см HTTPS, не кажучы ўжо зялёны. Хто-небудзь з вас калі-небудзь бачыў экран, як гэта? Вы, магчыма, на самай справе, у пачатку кастрычніка, калі я забыўся заплаціць за наш Сертыфікат SSL, як гэта называецца, і мы шукалі, як гэта на працягу гадзіны або двух. Такім чынам, вы, напэўна, бачылі рэчы як гэта, з выкрэсліванняў, чырвонай лініі, праз пратакол у URL ці нейкі экран, што гэта па меншай меры, пераконваючы вас за тое, каб ісці далей. І Google тут запрашае Вы вярнуцца ў бяспечнае месца. Цяпер, у дадзеным выпадку, гэта проста азначае, што Сертыфікат SSL, што мы выкарыстоўвалі, вялікія, матэматычна карысныя нумары , Якія звязаны з серверам CS50 ў, больш не дзейнічае. І на самай справе, мы можам мадэляваць гэта, як вы можаце на вашым ноўтбуку. Калі я іду ў Chrome тут, і пойдзем у facebook.com, і, падобна, гэта бяспечна. Але дазвольце мне ісці наперад цяпер і націсніце на замак тут. І дазвольце мне перайсці да сувязі, Інфармацыя аб сертыфікаце. І на самай справе, тое, што вы будзеце см тут куча з дэталі ніжняга ўзроўню каля хто facebook.com самай справе. Здаецца, што яны заплацілі грошы, каб Кампанія называецца, можа быць, DigiCert High Гарантыя таго, што абяцаў расказаць астатняму свету што, калі браўзэр пастаянна бачыць certificate-- вы можаце думаць, з яго літаральна як сведчанне, што Падобна на тое, гэтай кепскай рэчы на ​​вяршыні left-- то facebook.com, хто яны кажуць яны, таму што ўвесь гэты час, калі Вы наведваеце вэб-сайт, як cs50.harvard.edu або facebook.com або gmail.com, што выкарыстоўваць HTTPS URL-адрасы, за кулісамі, ёсць такога роду здзелкі адбываецца аўтаматычна для вас, у выніку чаго facebook.com, у дадзеным выпадку, пасылае на ваш браўзэр яго так званы сертыфікат SSL, ці, дакладней, ягоны адкрыты ключ, а затым ваш браўзэр выкарыстоўвае гэты адкрыты ключ каб пасля адправіць зашыфраванае трафіку да і ад яго. Але ёсць уся гэтая іерархія у свеце кампаній што вы плаціце грошы, каб хто будзе Затым паказанні, у лічбавым сэнсе, што вы сапраўды facebook.com або ваш сервер сапраўды cs50.harvard.edu. І пабудаваў у браўзэрах, як Chrome і IE і Firefox, ўяўляе сабой спіс усіх тых, так званыя цэнтры сертыфікацыі якія ўпаўнаважаны Microsoft і Google і Mozilla каб пацвердзіць або абвергнуць, што facebook.com ёсць хто гэта кажа, што гэта. Але загваздка ў тым, што гэтыя рэчы мінае. На самай справе, Facebook, падобна, ён заканчваецца ў кастрычніку гэтага года, у 2015 годзе. Такім чынам, мы можам на самай справе сімуляваць гэта, калі я перайсці на мой Mac маім System Preferences, і я іду ў даце і часу, і Я іду ў Дата і час тут, і я разблакаваць гэтую here-- шчасце, мы не выявілі пароль гэтым time-- і цяпер я іду ўніз, каб зняць гэта. І давайце actually-- ой, што гэта не так цікава, як гэта рабіць. Мы літаральна ў будучыні зараз, што азначае, гэта тое, што, як 2020. Калі я цяпер перазагрузіць page-- давайце зробім гэта ў Ingognito mode-- калі я перазагрузіць старонку, там мы ідзем. Так што цяпер, мой кампутар думае гэта 2020, але мой браўзэр ведае, што гэты сертыфікат ад Facebook мінае, вядома, у 2015 годзе. Так што гэта дае мне гэтую чырвоную паведамленне. Цяпер, на шчасце, браўзэры як Chrome ёсць на самой справе зрабіў гэта даволі цяжка перайсці тым не менш. Яны сапраўды хочуць мяне вярнуцца да бяспекі. Калі я націскаю вось на Advance, гэта збіраюся расказаць мне некаторыя падрабязнасці. І калі я сапраўды хачу працягнуць, яны дазволяць мне ісці ў facebook.com, які, зноў, небяспечна, і ў гэты момант Я буду бачыць старонку на Facebook, як гэта. Але тады іншыя рэчы здаецца, разрыў. Што, верагодна, парушаючы ў гэты момант? АЎДЫТОРЫЯ: JavaScript. Дэвід Дж Малання: Як Сцэнары JavaScript і / або CSS Файлы ж сустракаючы гэтую памылку. Так што гэта проста дрэнная сітуацыя ў цэлым. Але справа ў тым, што па меншай меры Facebook сапраўды мае уключаны SSL для сваіх сервераў, як многія вэб-сайты, зрабіць, але не абавязкова ўсё. Але гэта не ў адзіночку вынас тут. Аказваецца, што нават SSL Было прадэманстравана каб быць у бяспекі ў некаторым родзе. Так што я накшталт намякаючы, што SSL, добра. Шукайце HTTPS URL-адрасы, а жыццё добра, таму што ўсе вашыя HTTP-трафіку і загалоўкі і змесціва зашыфравана. Ніхто не можа перахапіць яго ў сярэдняга, на працягу так званага чалавека, за выключэннем пасярэдзіне. Гэта агульная методыка у свеце бяспекі вядомай як нападу мужчына-у-сярэдзіне. Выкажам здагадку, што вы гэта крыху ноўтбук тут злева, і выкажам здагадку, што вы спрабуеце наведаць Сервер там справа, як facebook.com. Але выкажам здагадку, што, у паміж вамі і Facebook, гэта цэлая куча іншых сервераў і абсталяванне, як камутатары і маршрутызатары, DNS-сэрвэры, DHCP серверы, ні адзін з якіх мы кантралюем. Гэта можа кіравацца Starbucks або Гарвард або Comcast і да таго падобнае. Ну, выкажам здагадку, што хто- зламысна, у вашай сеткі, паміж вамі і Facebook, у стане сказаць вам, што, вы ведаеце, што, IP адрас Facebook не тое, што вы думаеце. Менавіта гэты IP замест. І так у Вашым браўзэры падманам просьбай трафік ад іншага кампутар у цэлым. Ну, выкажам здагадку, што кампутар проста глядзіць на ўсе трафіку вы запытваеце ў Facebook і ўсё вэб-старонак што вы запытваеце ў Facebook. І ў любы час ён бачыць у вашым трафіку URL, які пачынаецца з HTTPS, гэта дынамічна, на лётаць, перапісвае яго ў якасці HTTP. І ў любы час ён бачыць размяшчэнне Загаловак, размяшчэнне тоўстай кішкі, як мы выкарыстоўваем для перанакіравання карыстальнік, тым таксама можа быць зменена гэтым чалавекам у сярэдні з HTTPS ў HTTP. Такім чынам, нават пры тым, што вы самі маглі б думаю, што ты ў рэальнай Facebook, гэта не так складана для праціўнік з фізічным доступам да сеткі, каб проста вярнуцца старонак вам, што выглядаць Gmail, што выглядаць Facebook, і сапраўды URL з'яўляецца ідэнтычныя, таму што яны робячы выгляд, што ёсць, што тое ж самае імя хаста з-за некаторай эксплуатацыі DNS ці якой-небудзь іншай сістэмы, як, што. І вынік, тады, што мы, людзі, маглі б толькі разумець, што, у парадку, гэта выглядае як Gmail ці, прынамсі, больш старая версія, як гэта слайд з старэй прэзентацыя. Але, падобна, this-- http://www.google.com. Так і тут, у рэальнасці з'яўляецца тое, што, як многія з вас, калі вы ідзяце ў Facebook або Gmail або любы сайт, і вы ведаеце, сёе-тое аб SSL, як многія з вас фізічна увядзіце HTTPS: //, а затым сайт назваць, Enter. Большасць з нас проста набярыце, як, CS50, хіт Enter, або F-за Facebook і націсніце Увод, і хай гэта аўтазапаўненне. Але за кулісамі, калі Вы сочыце за сваім HTTP трафік, там, напэўна, цэлая куча з гэтых загалоўкаў месцазнаходжаньня што адпраўляеце вас ад Facebook, каб www.facebook.com у https://www.facebook.com. Дык вось адзін або некалькі HTTP транзакцый дзе ваша інфармацыя цалкам адпраўлена ў малавоблачна, без Шыфраванне б там ні было. Цяпер, што не можа быць такі вялікі справа, калі ўсё, што вы спрабуеце зрабіць будзе перайсці на галоўную старонку, вы не даслаўшы свой лагін і пароль. Але што гэта пад капот, асабліва для PHP на аснове вэб-сайтаў, якія таксама адпраўляецца туды і назад, калі Вы наведаеце некаторыя вэб-старонкі, калі што выкарыстоўвае сайт, скажам, PHP і рэалізуе функцыянальнасць як pset7? Што адпраўляецца туды і назад ў загалоўках HTTP, што дае вам Доступ да гэтай даволі карысна супер глабальны PHP? Аўдыторыя: Печыва. Дэвід Дж Малання: Печыва, У прыватнасці, PHP SESS ID печыва. Так нагадаем, калі мы ідзем у, скажам, cs50.harvard.edu зноў, але на гэты раз, давайце адкрыем Сетка ўкладка, і цяпер, тут, давайце літаральна проста пайсці у http://cs50.harvard.edu а затым націсніце Увод. А потым глядзець на экран тут. Звярніце ўвагу, што мы сапраўды атрымалі назад 301 пераехаў на сталае жыхарства Паведамленне, якое азначае, што ёсць загаловак размяшчэнне тут, які ў цяперашні час перасылак мяне HTTPS. Але загваздка ў тым, што, калі ў мяне ўжо быў печыва штамп на маёй руцэ практычна, як мы ўжо абмяркоўвалі раней, і Я чалавек накшталт неўсвядомлена проста наведаць небяспечна версія, і мой браўзэр прымае яго на сябе, каб паказаць, што друк на руку для першы запыт, які праз HTTP, хто ў сярэдзіне, любы праціўнік ў сярэдзіне, тэарэтычна можа проста паглядзець гэтыя HTTP загалоўкі, проста як мы глядзім на іх тут. Гэта толькі калі вы знаходзіцеся размаўляе з HTTPS URL Ці гэта, рука сама марка атрымаць шыфруецца, а-ля Цэзар або Vigenere, але з больш незвычайным алгарытму ў цэлым. Так і тут, нават калі вэб-сайты выкарыстоўваюць HTTPS, мы, людзі, былі абумоўлены, дзякуючы для запаўненьня і іншых метадаў, нават не думаць пра патэнцыйныя наступствы. Зараз, ёсць спосабы абысці гэта. Напрыклад, многія вэб-сайты могуць быць сканфігураваны так што, як толькі вы гэта рука друк, вы можаце паведаміць браўзэру, гэтая рука штамп толькі для злучэнняў SSL. Браўзэр не павінна прадстаўляць гэта для мяне, калі гэта не больш чым SSL. Але многія сайты не турбуйцеся, што. І шмат сайтаў, мабыць, нават не папрацавалі з SSL наогул. Такім чынам, для больш ад таго, што ёсць на самой справе нават больш бруду ў гэтай прэзентацыі што хлопец даў у так званы чорны капялюш канферэнцыя пару гадоў таму, дзе ёсць нават сябра шкоднасныя трукі людзі выкарыстоўвалі. Вы, магчыма, памятаеце гэта Паняцце Favicon, які гэта як маленькі лагатып, гэта часта ў акне браўзэра. Ну, тое, што было распаўсюджана сярод дрэнных хлопцаў зрабіць цудоўныя абразкі, якія выглядаюць як што? АЎДЫТОРЫЯ: [неразборліва]. Дэвід Дж Малання: зноў сказаць? Аўдыторыя: сайты. Дэвід Дж Малання: Ня сайт. Так абразок сайта, малюсенькі значок. Што было б найбольш злы, маніпулятыўная рэч Вы маглі б зрабіць мой вэб-сайт значок па змаўчанні выглядае? АЎДЫТОРЫЯ: зялёны замак. Дэвід Дж Малання: Што гэта? АЎДЫТОРЫЯ: маленькі зялёны замак. Дэвід Дж Малання: Як зялёны замак, дакладна. Такім чынам, вы можаце мець гэта эстэтычная аб маленькім зялёным замкам, намякаючы на ​​свет, пра, мы забяспечыць, калі, зноў жа, усё гэта азначае, з'яўляецца тое, што вы ведаеце, некаторыя HTML. Так сесія згон ставіцца да менавіта гэта. Калі ў вас ёсць хто-небудзь, хто-то нюхае эфір у гэтым пакоі тут ці мае фізічны доступ да Сетка і бачыце печыва, ён або яна можа захапіць, што PHP SESS ID печыва. А потым, калі яны хопіць здаровага сэнсу, каб ведаць, як адправіць што печыва, як свае ўласныя ручной штамп проста капіюючы гэта значэнне і адпраўкай загалоўкаў HTTP, хто-то мог вельмі лёгка увайсці ў любой з Facebook рахунку або Gmail рахунку або Twitter рахункі, якія тут, адкрытых ў пакоі, калі вы не выкарыстоўваеце SSL і калі сайт ня правільна выкарыстоўваючы SSL. Так што давайце пераход да іншага. Так што іншы праўдзівая гісторыя. І гэта проста зламаў у Навіны за тыдзень ці два таму. Verizon было рабіць вельмі зло, і як лепшыя людзі могуць сказаць, па меншай меры з 2012 года, у выніку чаго, пры доступе сайты праз Verizon тэлефон, усё, што вытворца гэта, яны былі дзёрзка, як абвяшчае гісторыя, ўвядзення ў усе вашыя HTTP трафік самастойна загаловак HTTP. А гэты загаловак выглядае як this-- X-UIDH. UID, як унікальны Ідэнтыфікатар ці ID карыстальніка. І X проста азначае, што гэты звычай загаловак, які ня стандарт. Але што гэта азначае з'яўляецца тое, што, калі я цягну ўгору, Напрыклад, любы сайт на мой тэлефон here-- і я выкарыстоўваю Verizon ў якасці майго carrier-- хоць мой браўзэр не можа пасылаць гэта HTTP загаловак, Verizon, як толькі як сігнал дасягае сваіх тэлефон вежа недзе, быў на некаторы час ін'екцыйных гэта загаловак ва ўсе наша HTTP-трафіку. Чаму яны гэта робяць? Меркавана па прычынах сачэння, ў рэкламных прычынах. Але ідыёцкі дызайнерскае рашэнне тут з'яўляецца тое, што загаловак HTTP, як вы, хлопцы, ведаеце з pset6, атрыманы любым вэб-серверам што вы з просьбай трафік. Так што ўвесь гэты час, калі Вы наведвалі Facebook або Gmail або любы вэб-сайт што не выкарыстоўвае SSL ўсе time-- і на самай справе, тыя, два шчасце зараз do-- але і іншыя сайты, якія не выкарыстоўвайце SSL ўвесь час, Verizon мае істотна былі пасадкі, сілком, ручной штамп на ўсе нашы Рукі, што нават мы не бачым, а канцавыя сайты рабіць. І так ён не быў, што цяжка для тых, хто ў Інтэрнэце працуе вэб-сервер на рэалізаваць, ох, гэта Дэвід, ці, ох, гэта Дэвин, нават калі мы Строгае аб ачыстцы печыва, таму што гэта не ад нас. Ён ідзе ад перавозчыка. Яны робяць пошук на свой нумар тэлефона а потым кажуць, ой, гэта Дэвід. Дазвольце мне ўводзіць унікальны ідэнтыфікатар, так што нашы рэкламадаўцы або хто можа адсочваць гэта. Так што гэта на самай справе вельмі, вельмі, вельмі дрэнна і жахліва. І я хацеў бы заклікаць вас, каб паглядзіце, напрыклад, па гэтым адрасе, які я павінен адмаўляемся Я на самой справе спрабаваў гэта сёння раніцай. Я напісаў невялікі скрыпт, пакласці яго на гэтым URL, наведаў яго з маім уласным Verizon Мабільны тэлефон пасля ўключэння Wi-Fi выключаны. Такім чынам, вы павінны ўключыць Wi-Fi ад так, што Вы карыстаецеся 3G або LTE ці таму падобнае. А потым, калі вы наведаеце гэты адрас, усё гэта сцэнар робіць для вас, хлопцы, калі Вы хацелі б гуляць, будзе ён выплёўвае тое, што HTTP загалоўкі Ваш тэлефон пасылае на наш сервер. І я на самой справе, справядлівасці дзеля, зрабіў не бачу ў гэтым сёння раніцай, што прымушае мяне думаць, альбо мясцовы тэлефон вежа я быў звязаны з ці яшчэ шмат чаго не рабіць гэта, ці ў іх ёсць адступілі зрабіць гэта часова. Але для атрымання больш падрабязнай інфармацыі, каб накіравацца ў гэтым URL тут. І зараз, каб this-- гэта комікс можа мець сэнс. Няма? Добра. Добра. Гэта памёр. Добра. Такім чынам, давайце зірнем на пару больш атакі, калі толькі для павышэння дасведчанасці аб а затым прапанаваць пару патэнцыйныя рашэння так што вы ўсё яшчэ памятаючы. Гэта адзін мы гаварылі пра іншае дзень, але не дае яму назва. Гэта падробка запыту крос-сайт, які з'яўляецца празмерна мудрагелісты спосаб сказаць Вы прымушае карыстальніка націску на URL, як гэта, якія трукі іх у нейкай паводзіны, якое яны не маюць намер. У гэтым выпадку, гэта, здаецца, каб спрабаваць падмануць мяне ў продажы мае акцыі Google. І гэта будзе поспех, калі Я, праграміст з pset7, не зрабілі тое, што? Ці, хутчэй, у больш агульным плане, у тым, што выпадкі я ўразлівыя для нападу калі хто-то трукі іншым карыстальнікам ў націснуўшы URL накшталт гэтага? Так? АЎДЫТОРЫЯ: Вы не адрозніваюць паміж GET і POST. Дэвід Дж Малання: Добра. Калі мы не адрозніваем паміж GET і POST, і на самай справе, калі мы дазволім GET для продажу рэчы, мы запрашаем такога роду атакі. Але мы ўсё яшчэ можам змякчыць яе некалькі. І я заўважыў, я думаю, на мінулым тыдні, што Amazon па меншай меры, спрабуе змякчыць гэта з тэхнікай гэта даволі проста. Што б разумныя рэчы зрабіць быць на вашым серверы, а не проста слепа продажы усе сімвал карыстальнік ўводзіць у? АЎДЫТОРЫЯ: Пацвярджэнне гатункаў? Дэвід Дж Малання: экран пацверджання, што-то з удзелам чалавечага ўзаемадзеяння так што я вымушаны зрабіць асабісты выбар, нават калі я наіўна націснуў спасылка, якая выглядае наступным чынам і прывёў мяне да экрана клетак, у меры папрасіў мяне, каб пацвердзіць або абвергнуць. Але не рэдкасць напад, асабліва у так званай фішынгу або спаму-як нападу. Зараз, гэты трохі больш тонкім. Гэта крос-сайт скріптінга атакі. І гэта адбудзецца, калі ваш Сайт не выкарыстоўвае эквівалент htmlspecialchars. І гэта займае карыстацкі ўвод і проста слепа ін'екцыйных яго ў вэб-старонку, як з пячаткай або рэха, with-- again-- з называючы то як htmlspecialchars. Таму выкажам здагадку, вэб-сайт у Пытанне ў тым, vulnerable.com. І хай ён прымае параметр, званы в. Паглядзіце, што можа адбыцца, Калі б я на самой справе, дрэнны хлопец, увядзіце або прымушае карыстальніка наведванне URL, які выглядае як this-- д = адкрыты тэг скрыпт, зачынены тэг сцэнара. І зноў, я мяркую, што vulnerable.com ня збіраецца ператварыць небяспечна сімвалы, такія як адкрытыя дужкі у HTML асоб, Ампэрсанд, L-Т, кропка з коскі, што што вы, магчыма, бачылі раней. Але тое, што гэта сцэнар ці JavaScript код Я спрабую падмануць Карыстальнік ў выкананні? Ну, document.location ставіцца да бягучага адрасе майго браўзэра. Так што, калі я раблю document.location =, гэта дазваляе мне перанакіраваць карыстальніка у JavaScript на іншым вэб-сайце. Гэта як наш функцыі PHP перанакіраваць, але зроблена ў JavaScript. Дзе я спрабую адправіць карыстачу? Ну, па-відаць, badguy.com/log.php, які некаторыя сцэнар, па-відаць, дрэнны хлопец напісаў, што бярэ Параметр называецца печыва. І заўважце, што мне здаецца, аб'яднання на канец гэтага знака роўнасці? Ну, што-тое, што кажа document.cookie. Мы не гаварылі пра гэта. Але, аказваецца, у JavaScript, як і ў PHP, Вы можаце атрымаць доступ да ўсіх печыва Магчыма, ваш браўзэр на самай справе выкарыстоўвае. Так эфектам гэтага радок кода, калі карыстальнік падманам перайшоўшы па гэтай спасылцы а сайт vulnerable.com ня пазбегнуць яго з htmlspecialchars, з'яўляецца тое, што ў вас ёсць толькі эфектыўна загружаныя на log.php ўсе вашы печыва. І гэта не заўсёды, што праблематычна, акрамя, калі адзін з гэтых печыва Ваш ідэнтыфікатар сеансу, ваш так званы ручной штамп, які азначае badguy.com можа зрабіць яго ці яе уласны HTTP запыты, адпраўка той жа руку штамп, што ж загаловак печыва, і ўвайсці ў любы сайт Вы наведвалі, які ў гэты выпадак vulnerable.com. Гэта крос-сайт скріптінга Напад у тым сэнсе, што вы, здаецца, падману адзін сайт у распавядаючы іншай вэб-сайт пра нейкую інфармацыі ён не павінен, на самай справе, маюць доступ да. Добра, гатовы для аднаго іншы трывожная дэталь? Добра, свет страшнае месца, законна так. Вось просты Прыклад JavaScript гэта ў сучасным зыходнага кода называецца геолокации 0 і 1. І ёсць пара пакрокавыя онлайн для гэтага. І гэта наступнае, калі I адкрыць гэтую вэб-старонку ў Chrome. Гэта першы нічога не робіць. ОК, мы пастараемся гэта зноў. О. Не, ён павінен нешта зрабіць. ОК, стаяць. Давайце паспрабуем гэта яшчэ раз. [Неразборліва] Ой, добра, не ведаю, чаму the-- о, прыбор верагодна, страціў Інтэрнэт Доступ па некаторых прычынах. Добра, так адбываецца са мной, таксама. Добра, так апавяшчэнне што адбываецца тут. Гэта загадкавае выгляду URL, які з'яўляецца толькі адным з сервера CS50, хоча выкарыстоўваць мой кампутара Месца, як фізічна гэта азначае. І калі, сапраўды, я націскаю на Дазволіць, давайце паглядзім, што адбудзецца. Мабыць, гэта мая бягучая шырата і падоўжная каардынаты ўніз да па-чартоўску добрым дазволам. Так як жа я магу атрымаць на гэта? Як гэта вэб-сайт, як CS50 сэрвэры, ведаю фізічна, дзе ў свеце Я, не кажучы ўжо пра тое дакладнасцю. Ну, атрымліваецца out-- давайце проста паглядзець на source-- старонку ў што тут ёсць куча HTML у ніжняя, што першы мае this-- Цела OnLoad = "геаграфічнае" - проста функцыя я пісаў. І я кажу, ад нагрузкі старонка, называюць геаграфічнае. І тады няма нічога у целе, таму ў галаве старонкі, заўважыць, што ў мяне тут. Вось мая функцыя геаграфічнае. І гэта толькі некаторыя памылкі checking-- калі тып navigator.geolocation не вызначана. Так JavaScript мае гэта Механізм, дзе вас , Можна сказаць, што гэта тып гэтай зменнай? І калі гэта не undefined-- гэта азначае, што некаторыя value-- Я збіраюся патэлефанаваць navigator.geolocation.getCurrentPosition а затым зваротнага выкліку. Што гэта? Такім чынам, у цэлым, што з'яўляецца зваротнага выкліку, проста каб было ясна? Вы, магчыма, сутыкнуліся гэта ўжо ў pset8. Зваротны гэта радавое Тэрмін рабіць што? Па адчуваннях проста мне сёння. АЎДЫТОРЫЯ: [неразборліва]. Дэвід Дж Малання: Роўна, функцыя, якая павінна назваць толькі тады, калі ў нас ёсць дадзеныя. Гэты заклік да браўзэра, атрымаць свой ток Становішча, можа заняць адну мілісекунду, гэта можа заняць хвіліну. Што гэта азначае, мы гаворым Метад Get getCurrentPosition, выклікаць гэтую функцыю зваротнага выкліку, якія я літаральна імя зваротнага выкліку Для прастаты, які па-відаць, гэта адзін тут. І тое, як getCurrentPosition працуе, проста чытаючы дакументацыю па нейкай код JavaScript онлайн, з'яўляецца што яна называе, што так званы зваротны выклік Функцыя, перадае яго ў гэта аб'ект JavaScript, усярэдзіне якога знаходзіцца .coords.latitude і .coords.longitude, які, як менавіта, то, калі я перазарадзіў гэтую старонку, Я змог убачыць сваё месцазнаходжанне тут. Зараз, па меншай меры, была абарона тут. Перш, чым я наведаў гэтую старонку, калі ён сапраўды працаваў, аб чым я, па меншай меры запыце? АЎДЫТОРЫЯ: [неразборліва]. Дэвід Дж Малання: Так або no-- рабіць Вы хочаце дазволіць або забараніць гэта? Але думаю, таксама, пра звычкі вы, хлопцы, напэўна, прыняў, як на вашых тэлефонаў і вашых браўзэраў. Многія з нас, сам ўключаны, з'яўляюцца, верагодна, даволі схільны іх days-- вас см ўсплывальнае, проста Enter, ОК, сцвярджае, Дазволіць. І ўсё часцей, вы можаце пакласці самі ў небяспекі для гэтых прычын. Такім чынам, на самай справе, там быў гэты выдатны памылка некалькі гадоў ago-- або адсутнасць feature-- што Itunes было некалькі гадоў таму, у выніку чаго, калі ў вас ёсць сотавы тэлефон, і гэта было iPhone, і вы пакінулі свой дом і, такім чынам, падарожнічаў па ўсім свеце ці раён, увесь гэты час, Ваш тэлефон быў уваход дзе вы знаходзіцеся з дапамогай GPS. І гэта на самай справе раскрываецца, і людзі збольшага чакаеце гэта цяпер. Ваш тэлефон ведае, дзе вы знаходзіцеся. Але праблема ў тым, што, калі вы былі рэзервовае капіраванне тэлефон для iTunes-- гэта было раней дні ICloud, што на да лепшага або для worse-- дадзеныя захоўваюцца ў Itunes, цалкам у незашыфраваным выглядзе. Так што калі ў вас ёсць сям'я або суседзі па пакоі або шкоднасная сусед хто цікава літаральна кожны GPS каардынаваць вы калі-небудзь былі, ён або яна маглі б проста сесці на Itunes, запусціць некаторыя праграмы, якія былі свабодна даступныя і складання карт, як гэта. На самай справе, гэта тое, што я вырабляецца з майго ўласнага тэлефона. Я уключыў яго ў. І, падобна, на аснове на сініх кропак там, вось дзе большасць каардынаты GPS былі ўвайшлі па Itunes, што я быў на паўночным усходзе там. Але я, відаць, падарожнічаў па няшмат, нават у Масачусецы. Дык вось Boston Harbor там справа. Гэта свайго роду Кембрыдж і Бостан, дзе гэта цёмны. І час ад часу, я б запусціць даручэнні ў большай геаграфіі. Але Itunes, на працягу многіх гадоў, былі, як лепш Я мог бы сказаць, усе гэтыя дадзеныя на мяне. Вы маглі б сказаць, што, у тым жа годзе, я быў на самай справе шмат падарожнічаў паміж Бостане і Нью-Ёрк, ходзіць туды-сюды і туды і назад. І на самай справе, гэта мяне на чыгуначны вакзал, назад і наперад, туды-сюды, зусім няшмат. Усё, што было пасля ўваходу і захоўваюцца ў зашыфраваным выглядзе на кампутары для тых, хто, магчыма, Доступ да майго кампутара. Гэта было трывожным. Я не ведаю, чаму я быў у Пенсільваніі ці чаму мой тэлефон быў у Пенсільваніі, па-відаць, даволі шчыльна. І вось, нарэшце, я паглядзеў на мой Гкал, і, о, я наведаў CMU, Карнегі Меллон, у той час. І уф, што выгляд растлумачыў, што ўсплёск. А потым, калі павялічыць з далейшага, вы можаце см я наведаў Сан-Францыска адзін або некалькі разоў, затым, і я нават быў прыпынак у тое, што Я думаю, што гэта Вегас, там, унізе. Так што ўсё this-- проста прыпынак, у аэрапорце. АЎДЫТОРЫЯ: [Смех] Так што гэта толькі, каб сказаць, што гэтыя праблемы, шчыра, ўсюдыісны. І гэта толькі адчувае больш падабаецца ёсць усё больш і больш гэтага раскрываюцца, які з'яўляецца, напэўна, добра. Мяркую, свет не пагаршаецца пры напісання праграмнага забеспячэння. Мы паляпшаем, будзем спадзявацца, на заўважаючы як дрэнна пэўнае праграмнае забеспячэнне з'яўляецца тое, што мы выкарыстоўваем. І на шчасце, некаторыя кампаніі пачынаюць каб несці адказнасць за гэта. Але якія віды абарон можа вы маеце на ўвазе? Так, акрамя мэнэджараў пароляў, як 1Password і LastPass і іншыя, Акрамя таго, толькі змяніўшы паролі і прыдумляць выпадковых іх з дапамогай праграмнага забеспячэння, як што, вы таксама можаце паспрабаваць як мага лепш, каб зашыфраваць усе вашыя руху па меншай меры, звузіць зону пагрозы. Так, напрыклад, у якасці Гарварда філіялаў, Вы ўсё можаце пайсці ў vpn.harvard.edu і ўвайсці з ID Гарвардскага і PIN-код. І гэта створыць бяспечны сувязь паміж вамі і Гарвардзе. Цяпер, што не абавязкова абараніць вас ад любых пагроз, якія паміж Гарвардскі і Facebook або Гарвард і Gmail. Але калі вы сядзіце ў аэрапорце ці вы седзячы ў Starbucks ці вы седзячы на ​​месцы аднаго, і вы сапраўды не давяраць ім або іх Канфігурацыя іх хатні маршрутызатар, па меншай меры, вы можаце ўсталяваць бяспечнае злучэнне у сутнасці, як гэта месца, гэта верагодна, крыху лепш забяспечаны чымсьці накшталт Starbucks ці таму падобнае. І тое, што гэта робіць ён вызначае, зноў жа, шыфраванне паміж вамі і канчатковай кропкі. Нават аматар такія рэчы, як гэта. Такім чынам, некаторыя з вас, магчыма, ужо быць знаёмыя з Tor, які з'яўляецца такога роду обезличивания сетку, у выніку чаго шмат людзей, калі яны запусціць гэтую праграму, маршрут Пасля іх інтэрнэт трафіку праз адзін аднаго. Так самы кароткі Справа ў тым, больш не паміж А і В. Але гэта магло б быць ва ўсім размясціць такім чынам, каб вы па сутнасці якія ахопліваюць свае трэкі і пакідаючы менш рэкорднага пра тое, дзе ваш HTTP трафік прыйшоў, таму што гэта будзе праз цэлую кучу іншых людзей наўтбукі або настольныя кампутары, да лепшага ці да горшага. Але нават гэта не дакладны рэч. Некаторыя з вас могуць успомніць ў мінулым годзе бомба паніка, што называлася ст. І гэта прасочвалася ў канчатковым рахунку, да Карыстальнік, які выкарыстаў гэтую сетку тут. І ўлоў там, наколькі я памятаю, гэта, калі няма тое, што многія іншыя людзі з выкарыстаннем праграмнага забеспячэння, як гэта ці выкарыстоўваючы гэты порт і пратакол, гэта не так складана для сеткі, каб нават высветліць, хто, з некаторай верагоднасцю, быў на самай справе ананімных яго ці яе руху. І я не ведаю, калі гэта былі фактычныя звесткі аб якіх ідзе гаворка. Але, вядома, не разумеюць, што ні адзін з гэта дакладны рашэнні, а таксама. І мэта тут сёння, каб хаця б вам думаць аб гэтых рэчах і прыдумляць метадаў абараняючы сябе ад іх. Любыя пытанні па ўсіх пагрозам што чакае вас там, і тут? Так? АЎДЫТОРЫЯ: Наколькі бяспечна рабіць мы чакаем, што ў сярэднім [? сайт, каб быць ,?], як сярэдняя праект CS50? Дэвід Дж Малання: Сярэдняя праект CS50? Ён заўсёды апыняўся кожны год, што некаторыя CS50 канчатковыя праекты не асабліва бяспечным. Як правіла, гэта нейкая сусед або hallmate што лічбы на гэта пасылаючы запыты да вашаму праекту. Кароткае answer-- колькі сайты з'яўляюцца бяспечнымі? Я выбіраю на сёння анамалій. Як гэта было проста выпадковасцю што я зразумеў, што гэты вэб-сайт Я замаўляў гэтыя адкрыта смачныя дамоўленасці из-- і я не ўпэўнены, я буду спыніць выкарыстанне іх вэб-сайт; Я мог бы проста змяніць свой Пароль яшчэ regularly-- не ясна, наколькі ўразлівыя ўсе гэтыя various-- гэта шакаладзе фактычна. Кароткі адказ, я не магу адказаць, што эфектыўна, акрамя як сказаць, гэта не было, што цяжка для мяне знайсці некаторыя з гэтых прыкладаў толькі дзеля абмеркавання ў лекцыі. І толькі сачыць на Google News і іншыя рэсурсы прынясе ўсё больш такія рэчы на ​​свет. Добра, давайце заключаць з гэтай прыквел што каманда CS50 ў падрыхтавала для вас у чаканні CS50 Hackathon. І на вашым выхадзе ў Момант, садавіна будуць абслугоўвацца. [ВИДЕОВОСПРОИЗВЕДЕНИЕ] [МУЗЫКА FERGIE, Q САВЕТ І GoonRock, " Маленькі атрад ніколі не забіваў НІХТО (ALL Мы атрымалі) "] - [Храп] [END ВИДЕОВОСПРОИЗВЕДЕНИЕ] Дэвід Дж Малання: Вось гэта для CS50. Убачымся ў сераду. [MUSIC - Skrillex, "IMMA" паспрабаваць яго "]