1 00:00:00,000 --> 00:00:11,300 2 00:00:11,300 --> 00:00:15,490 >> DAVID J. Malan: Това е CS50, и това е началото на 10 седмица. 3 00:00:15,490 --> 00:00:19,460 Може би си спомняте, че ние показахме на 3D принтер, екранът, който 4 00:00:19,460 --> 00:00:21,610 е това устройство, което се ролки от пластмаса 5 00:00:21,610 --> 00:00:24,840 и след това го изтечения чрез загряване и тя се топи, така че тогава ще можем да 6 00:00:24,840 --> 00:00:27,310 образуват армията на Чан слонове, например. 7 00:00:27,310 --> 00:00:29,184 >> Така че в Leverett House, все пак, наскоро, аз 8 00:00:29,184 --> 00:00:31,850 разговарял с един от вашите съученици и приятел на Чан 9 00:00:31,850 --> 00:00:35,720 на име Мишел, който всъщност интерниран в тази друга компания през изминалата година, че 10 00:00:35,720 --> 00:00:40,010 има различна техника за действително създаване на триизмерни обекти, 11 00:00:40,010 --> 00:00:41,890 като този мъничък слон тук. 12 00:00:41,890 --> 00:00:45,550 По-специално, начина, по който работи е, че това е един пример за нещо, 13 00:00:45,550 --> 00:00:49,740 нарича стереолитография, при което там е този басейн на смола или течност, 14 00:00:49,740 --> 00:00:53,340 и след това лазерен впечатление, че течност, и постепенно, устройството 15 00:00:53,340 --> 00:00:56,990 лифтове и влекове и лифтове нещо че сте се печата, като слон, 16 00:00:56,990 --> 00:00:58,676 като тази течност става твърд. 17 00:00:58,676 --> 00:01:00,550 И резултатът, всъщност, е нещо, което е 18 00:01:00,550 --> 00:01:04,194 много по-силен, отколкото някои от пластмасата дребни някои от вас 19 00:01:04,194 --> 00:01:04,819 може да са имали. 20 00:01:04,819 --> 00:01:06,860 >> И какво Chang любезно е направил за нас тук е 21 00:01:06,860 --> 00:01:12,210 Направих времето изтича, използвайки снимки в течение на един час или повече, 22 00:01:12,210 --> 00:01:14,580 Вероятно, за да произведе този човек тук. 23 00:01:14,580 --> 00:01:19,060 Дали някой, който никога не е дошъл преди искал да се удари Старт на това видео? 24 00:01:19,060 --> 00:01:21,250 Позволете ми да отида с, какво ще кажеш за там. 25 00:01:21,250 --> 00:01:21,790 Хайде нагоре. 26 00:01:21,790 --> 00:01:24,960 27 00:01:24,960 --> 00:01:25,460 Добре. 28 00:01:25,460 --> 00:01:29,250 29 00:01:29,250 --> 00:01:29,896 А вие сте? 30 00:01:29,896 --> 00:01:31,270 LUKE: Моето име Лука [недоловим]. 31 00:01:31,270 --> 00:01:31,700 DAVID J. Malan: Здравейте, Лука. 32 00:01:31,700 --> 00:01:32,695 Приятно ми е да се запознаем. 33 00:01:32,695 --> 00:01:33,653 >> LUKE: Приятно ми е да се запознаем. 34 00:01:33,653 --> 00:01:35,120 АУДИТОРИЯ: Той работи за UC. 35 00:01:35,120 --> 00:01:38,640 >> DAVID J. Malan: Знам, ние се опитваме да не се насърчава. 36 00:01:38,640 --> 00:01:41,240 Добре, така че Лука, всички което трябва да направите тук, в CS50 37 00:01:41,240 --> 00:01:45,829 се удари в гредата пространство да отпечатате този слон. 38 00:01:45,829 --> 00:01:46,495 [Възпроизвеждане на видео] 39 00:01:46,495 --> 00:01:49,988 - [MACHINE Свистящи] 40 00:01:49,988 --> 00:02:00,467 41 00:02:00,467 --> 00:02:01,964 - [CRASH] 42 00:02:01,964 --> 00:02:04,459 - [BOOM] 43 00:02:04,459 --> 00:02:06,147 - [CRASH] 44 00:02:06,147 --> 00:02:06,980 [END възпроизвеждане на видео] 45 00:02:06,980 --> 00:02:09,370 DAVID J. Malan: Така че това е точно какво е искал да 3D печат. 46 00:02:09,370 --> 00:02:10,453 И тук е вашият слон. 47 00:02:10,453 --> 00:02:12,100 Благодаря за доброволчеството. 48 00:02:12,100 --> 00:02:12,830 Добре. 49 00:02:12,830 --> 00:02:16,580 Така че, отново, според спецификацията за окончателният проект, този хардуер, който е 50 00:02:16,580 --> 00:02:18,890 достъпна за вас, момчета е, че по някаква причина, 51 00:02:18,890 --> 00:02:21,870 Вашият проект има някои пресичане на софтуер и хардуер, 52 00:02:21,870 --> 00:02:24,650 осъзнават, че това са ресурси. 53 00:02:24,650 --> 00:02:27,750 >> Исках да взема един момент да се докоснат по статия Crimson, които се появиха 54 00:02:27,750 --> 00:02:30,541 късно снощи, който е трябвало да обявим, че този човек тук, Дейвид 55 00:02:30,541 --> 00:02:33,920 Джонсън, който е бил старши учител за Ec 10 от доста време, 56 00:02:33,920 --> 00:02:36,210 напуска Харвард в края на учебната година. 57 00:02:36,210 --> 00:02:38,390 А аз просто исках да отделете малко време, честно казано, 58 00:02:38,390 --> 00:02:41,620 да благодаря на Дейвид пред CS50. 59 00:02:41,620 --> 00:02:44,360 Той е бил наставник на видове към нас през годините. 60 00:02:44,360 --> 00:02:46,980 >> И аз се чувствам като ние, CS50, имат скоро израснали с ЕК 10 61 00:02:46,980 --> 00:02:48,870 тук, тъй като те са точно пред нас. 62 00:02:48,870 --> 00:02:52,040 И той и целия екип в Ec 10 има било чудесно милостив, честно казано, 63 00:02:52,040 --> 00:02:55,410 тъй като ние се влача в цялото ни оборудване всяка седмица, а преди години, 64 00:02:55,410 --> 00:02:57,320 предоставя много на съвета, както бяхме 65 00:02:57,320 --> 00:02:59,520 любопитен как те работят Ec 10. 66 00:02:59,520 --> 00:03:02,640 Така че нашите благодарности и възхищение към Дейвид Джонсън. 67 00:03:02,640 --> 00:03:06,560 >> [Аплодисменти] 68 00:03:06,560 --> 00:03:08,030 69 00:03:08,030 --> 00:03:12,180 >> Сега unrelatedly, така краят е наистина близо. 70 00:03:12,180 --> 00:03:13,630 Ние сме тук, в 10 седмица. 71 00:03:13,630 --> 00:03:15,920 И ние имаме само просто Няколко официални седмици 72 00:03:15,920 --> 00:03:18,320 тук в клас наляво, последвано от няколко събития. 73 00:03:18,320 --> 00:03:21,860 Така че да ви даде усещане за това, което е на хоризонта, ние сме тук днес. 74 00:03:21,860 --> 00:03:24,480 >> Тази сряда, изземване, ще имаме лекция гост 75 00:03:24,480 --> 00:03:27,040 от никой друг освен Microsoft собствената Стив Балмър. 76 00:03:27,040 --> 00:03:31,740 Ако все още не сте преминали към cs50.harvard.edu/register, 77 00:03:31,740 --> 00:03:33,360 направи това, тъй като пространството ще бъде ограничено. 78 00:03:33,360 --> 00:03:36,447 И те ще бъдат проверка Идентификатори на вратата този ден. 79 00:03:36,447 --> 00:03:38,280 Ако не сте били тук миналата седмица, аз мислех, че ще 80 00:03:38,280 --> 00:03:41,850 ви дразни с различен поглед Стив и вълнение, че 81 00:03:41,850 --> 00:03:44,215 ни очаква в сряда. 82 00:03:44,215 --> 00:03:45,205 >> [Възпроизвеждане на видео] 83 00:03:45,205 --> 00:03:46,195 >> -Passion. 84 00:03:46,195 --> 00:03:50,650 >> -We're Ще бъде hardcore-- хардкор. 85 00:03:50,650 --> 00:03:51,640 >> -Innovator. 86 00:03:51,640 --> 00:03:53,339 >> -Bill Каза, че не го получи. 87 00:03:53,339 --> 00:03:55,130 Отиваме да се постави компютър на всяко бюро 88 00:03:55,130 --> 00:03:58,690 и във всеки дом, който стана мотото на компанията. 89 00:03:58,690 --> 00:04:01,850 Кълна се, Бил го е измислил тази нощ наистина да ми даде 90 00:04:01,850 --> 00:04:04,370 някои от визията на Ето защо аз трябва да кажа, да. 91 00:04:04,370 --> 00:04:07,280 Никога не съм погледна назад, Наистина, след това. 92 00:04:07,280 --> 00:04:10,010 >> -Fresh От колежа, той се присъединява към младата стартиране 93 00:04:10,010 --> 00:04:14,450 и му помогна да се превърне в един от Америка най-успешните бизнеси всякога. 94 00:04:14,450 --> 00:04:16,920 Животът и бизнеса научени уроци по протежение на пътя 95 00:04:16,920 --> 00:04:19,925 нека отново да си детството страст и любов. 96 00:04:19,925 --> 00:04:24,650 И тези преживявания са подготвили него за следващия си предизвикателство в живота. 97 00:04:24,650 --> 00:04:27,150 >> -Нищо Получава в нашата way-- бум! 98 00:04:27,150 --> 00:04:29,330 Дръжте идва хардкор! 99 00:04:29,330 --> 00:04:31,150 Отиди Клипърс! 100 00:04:31,150 --> 00:04:38,627 >> -Това Е Стив Балмър, "В моите собствени думи." 101 00:04:38,627 --> 00:04:39,460 [END възпроизвеждане на видео] 102 00:04:39,460 --> 00:04:41,240 DAVID J. Malan: --this Сряда, за да CS50. 103 00:04:41,240 --> 00:04:43,080 Глава отново към този URL тук. 104 00:04:43,080 --> 00:04:46,500 Що се отнася до това, което иначе е на хоризонта, следващата седмица, не лекция в понеделник. 105 00:04:46,500 --> 00:04:50,020 Но ние ще се след от викторина един в сряда. 106 00:04:50,020 --> 00:04:54,390 Отидете на начална страница CS50 за подробности на хора, места и времена 107 00:04:54,390 --> 00:04:57,640 за всички на различни proctoring логистика и други подобни, 108 00:04:57,640 --> 00:05:00,190 както и за преглед сесии, които предстоят. 109 00:05:00,190 --> 00:05:06,479 И тогава, накрая, в понеделник, деня преди седмица на благодарността почивка, 110 00:05:06,479 --> 00:05:08,020 осъзнаваш, че ще бъде окончателно нашата лекция. 111 00:05:08,020 --> 00:05:11,490 Ние ще служат торта и голям част от вълнение, ние се надяваме. 112 00:05:11,490 --> 00:05:13,976 >> Сега, няколко други актуализации. 113 00:05:13,976 --> 00:05:16,350 Имайте предвид, че статутът доклад, който в действителност е просто 114 00:05:16,350 --> 00:05:20,430 трябвало да бъде случаен взаимодействие с TF да гордо посочва само 115 00:05:20,430 --> 00:05:23,106 колко далеч заедно с вашата окончателния проект и да сте, 116 00:05:23,106 --> 00:05:24,980 или най-малкото като здрав разум се уверите, че трябва 117 00:05:24,980 --> 00:05:27,250 се приближава, че точка скоро след това. 118 00:05:27,250 --> 00:05:28,660 След това Hackathon следва, че. 119 00:05:28,660 --> 00:05:30,800 Осъзнайте Hackathon не е възможност 120 00:05:30,800 --> 00:05:33,690 да започнат своя окончателен проект, но е трябвало да бъде възможност 121 00:05:33,690 --> 00:05:37,040 да бъде в средата или към В края на своя окончателен проект, 122 00:05:37,040 --> 00:05:41,030 с изпълнението поради няколко дни по-късно, последвано от панаира CS50. 123 00:05:41,030 --> 00:05:43,330 >> Сега, производство CS50 е екип, преди няколко години, 124 00:05:43,330 --> 00:05:46,127 взети заедно закачка за панаира CS50, че ние 125 00:05:46,127 --> 00:05:48,710 смятахме, че ще ви покажа днес, защото съм бил усилено по време на работа 126 00:05:48,710 --> 00:05:51,930 за предистория за това ново видео че ще сключи днес. 127 00:05:51,930 --> 00:05:57,694 Но ето какво ви очаква за тази година CS50 честно. 128 00:05:57,694 --> 00:05:58,360 [Възпроизвеждане на видео] 129 00:05:58,360 --> 00:06:00,680 - [Мобилен телефон звъни] 130 00:06:00,680 --> 00:06:07,624 131 00:06:07,624 --> 00:06:11,117 [MUSIC "ТЕМА ОТ Мисия: Невъзможна"] 132 00:06:11,117 --> 00:08:47,065 133 00:08:47,065 --> 00:08:52,820 [END възпроизвеждане на видео] 134 00:08:52,820 --> 00:08:56,840 DAVID J. Malan: Така че това е точно как ние затваряме окончателни становища по проекта. 135 00:08:56,840 --> 00:08:59,220 Няколко сега teasers-- ако искате да се присъедините към Ник тук 136 00:08:59,220 --> 00:09:02,740 за обяд, както обикновено, това Петък, се отправят към този URL тук. 137 00:09:02,740 --> 00:09:05,530 Освен това, ако искате да се присъедини към Ник или този Nick 138 00:09:05,530 --> 00:09:08,770 или това Алисън или всяко членове на екипа CS50 е, 139 00:09:08,770 --> 00:09:11,110 осъзнават, че скоро след крайния срок е, 140 00:09:11,110 --> 00:09:13,780 CS50 вече ще се набира за следващата година екип, 141 00:09:13,780 --> 00:09:18,130 за КО, TFS, дизайнери, производители, изследователи, и други позиции 142 00:09:18,130 --> 00:09:21,790 че тук работят CS50 както в Пред и зад кулисите. 143 00:09:21,790 --> 00:09:25,482 Така че, ако това може да бъде от интерес за вас, се отправят към този URL тук. 144 00:09:25,482 --> 00:09:28,190 И студентите по-удобно, по-удобно, и някъде в 145 00:09:28,190 --> 00:09:31,710 между така всички са добре дошли и насърчават да прилагат. 146 00:09:31,710 --> 00:09:34,920 >> Така че това е добра графика, че не шега, тази сутрин, когато се събудих, 147 00:09:34,920 --> 00:09:37,220 Имах тук спам в моята пощенска кутия. 148 00:09:37,220 --> 00:09:39,420 То всъщност се подхлъзна чрез спам филтър в Gmail 149 00:09:39,420 --> 00:09:41,659 по някакъв начин и в крайна сметка в действителност моята пощенска кутия. 150 00:09:41,659 --> 00:09:43,700 И той казва: "Скъпи пощенска кутия потребител, вие сте в момента 151 00:09:43,700 --> 00:09:45,240 обновен до 4 гигабайта пространство. 152 00:09:45,240 --> 00:09:50,750 Моля, влезте в профила си за да се потвърдят E-пространство. " 153 00:09:50,750 --> 00:09:54,100 >> И тогава там е тази хубава синя привлекателен връзка там, за да кликнете върху 154 00:09:54,100 --> 00:09:59,480 за преподаватели и служители, които след това ме заведе да чудесно легитимна страница, която 155 00:09:59,480 --> 00:10:02,300 ме помоли да им даде името ми и-мейл адреса си и, разбира се, 156 00:10:02,300 --> 00:10:05,090 парола, за да потвърдите кой съм аз и така нататък. 157 00:10:05,090 --> 00:10:09,330 Но разбира се, както винаги е така, пристигнете в тази целева страница, 158 00:10:09,330 --> 00:10:11,370 и разбира се, има най-малко една правописна грешка, 159 00:10:11,370 --> 00:10:14,840 което изглежда да бъде пирон в ковчега на някой от тези измами. 160 00:10:14,840 --> 00:10:17,890 И ние ще публикуваме, може би, някой друг връзки към тези видове екранни снимки 161 00:10:17,890 --> 00:10:18,473 в бъдеще. 162 00:10:18,473 --> 00:10:22,535 Но се надяваме, че повечето хора в тази стая не са clicked-- 163 00:10:22,535 --> 00:10:24,410 или дори ако сте кликнали такива връзки, тъй като това, 164 00:10:24,410 --> 00:10:28,040 не сте отишли ​​толкова далеч, че да попълнете тези форми и така нататък. 165 00:10:28,040 --> 00:10:30,210 В действителност, това е ОК, ако имате. 166 00:10:30,210 --> 00:10:33,410 Ние ще се опитаме да поправим това днес, защото, Наистина, днес в разговор е 167 00:10:33,410 --> 00:10:34,450 за сигурност. 168 00:10:34,450 --> 00:10:36,500 >> И наистина, един от цели на CS50 не е 169 00:10:36,500 --> 00:10:38,980 толкова много да ви научи CE или PHP или JavaScript или SQL 170 00:10:38,980 --> 00:10:41,610 или който и да е от тях в основата детайли за изпълнение. 171 00:10:41,610 --> 00:10:45,612 Но това е за да ти даде като хората просто да се направи по-умни решения като това 172 00:10:45,612 --> 00:10:48,070 се отнася до технология надолу по път, така че, независимо дали сте 173 00:10:48,070 --> 00:10:51,370 инженер или хуманист или учен или друга роля, 174 00:10:51,370 --> 00:10:54,970 вие правите информирани решения за своя собствена употреба компютри, 175 00:10:54,970 --> 00:10:56,980 или ако сте в позиция за вземане на решения, 176 00:10:56,980 --> 00:10:59,250 в политиката, по-специално, вие правите много, 177 00:10:59,250 --> 00:11:02,770 много по-добри решения, отколкото Много хора днес са били. 178 00:11:02,770 --> 00:11:04,830 И ние ще направим това, като начин на няколко примера. 179 00:11:04,830 --> 00:11:09,030 >> Първо, бях доста изненадан Наскоро да откриете по-долу. 180 00:11:09,030 --> 00:11:11,120 Така пароли, разбира се, са това, което повечето от нас 181 00:11:11,120 --> 00:11:18,030 използвате, за да защитим нашата data-- електронна поща, чат, и всички видове ресурси, като това. 182 00:11:18,030 --> 00:11:23,020 И точно като не е awkward-- покаже на ръце, но смутени погледи на срам, 183 00:11:23,020 --> 00:11:26,600 колко от вас използват една и съща парола в много различни сайтове? 184 00:11:26,600 --> 00:11:28,020 >> О, добре, така че ние ще направим ръцете. 185 00:11:28,020 --> 00:11:30,950 ОК, така че много от вас правят. 186 00:11:30,950 --> 00:11:33,770 Всеки, който прави това, просто защо? 187 00:11:33,770 --> 00:11:35,078 И какво от това? 188 00:11:35,078 --> 00:11:36,537 Така ли? 189 00:11:36,537 --> 00:11:39,870 АУДИТОРИЯ: Това е лесно да се помни, защото не е нужно да се помни [недоловим]. 190 00:11:39,870 --> 00:11:41,703 DAVID J. Malan: Да, това е лесно да се запомни. 191 00:11:41,703 --> 00:11:44,560 Това е напълно разумно, рационално поведение, 192 00:11:44,560 --> 00:11:46,920 въпреки че рискът сте пускането си 193 00:11:46,920 --> 00:11:50,540 в в тези случаи е просто един или повече от тези сайтове 194 00:11:50,540 --> 00:11:54,510 е уязвим за хакерски или несигурни или парола е просто 195 00:11:54,510 --> 00:11:57,130 толкова дяволски guessable, всеки може да го разбера. 196 00:11:57,130 --> 00:11:59,850 Не само, че една сметка компрометирана, но на теория, всеки 197 00:11:59,850 --> 00:12:01,280 сметки имате в интернет. 198 00:12:01,280 --> 00:12:04,550 Така че аз знам, че може да се каже днес, не използвате една и съща парола навсякъде, 199 00:12:04,550 --> 00:12:06,450 но това е много по-лесно да се каже отколкото да се направи. 200 00:12:06,450 --> 00:12:10,850 Но има и техники за смекчаване на този конкретен проблем. 201 00:12:10,850 --> 00:12:14,030 >> Сега се случи, например, на използвате програма, наречена 1Password. 202 00:12:14,030 --> 00:12:16,010 Друга популярна една се нарича LastPass. 203 00:12:16,010 --> 00:12:19,030 И един куп използване персонал CS50 един или повече от тези видове инструменти. 204 00:12:19,030 --> 00:12:20,940 И дълга история кратко, една храна за вкъщи за днес 205 00:12:20,940 --> 00:12:25,080 трябва да бъде, да, може да се наложи една и съща парола навсякъде, 206 00:12:25,080 --> 00:12:27,260 но това е много лесно да не го направя. 207 00:12:27,260 --> 00:12:31,260 Например, тези дни, аз зная, може би един от моите десетки или стотици 208 00:12:31,260 --> 00:12:31,910 на пароли. 209 00:12:31,910 --> 00:12:33,990 Всички други мои пароли са псевдо-случайно 210 00:12:33,990 --> 00:12:36,046 генерирани от една от тези програми тук. 211 00:12:36,046 --> 00:12:38,420 И в орехова черупка, а дори и въпреки че повечето от тези програми 212 00:12:38,420 --> 00:12:41,487 са склонни да идват с малко разходи, ще инсталирате програма като тази, 213 00:12:41,487 --> 00:12:43,820 тогава ще съхранявате всички Вашите потребителски имена и пароли 214 00:12:43,820 --> 00:12:46,960 вътре в тази програма свой собствен Mac или PC, или какво ли не, 215 00:12:46,960 --> 00:12:49,290 и след това ще бъде криптирана на вашия компютър 216 00:12:49,290 --> 00:12:51,599 с какво се надяваме, особено дълга парола. 217 00:12:51,599 --> 00:12:54,140 Така че аз имам един куп пароли за отделните сайтове, 218 00:12:54,140 --> 00:12:56,390 и след това имам наистина дълга парола, която аз 219 00:12:56,390 --> 00:12:59,059 използвате, за да отключите всички тези други пароли. 220 00:12:59,059 --> 00:13:00,850 И това, което е хубаво за софтуер като това е 221 00:13:00,850 --> 00:13:04,016 че, когато посещавате уебсайт, който е питам за вашето потребителско име и парола, 222 00:13:04,016 --> 00:13:06,304 тези дни, аз не тип в потребителското си име и парола, 223 00:13:06,304 --> 00:13:08,970 защото, отново, аз дори не знам това, което повечето от моите пароли са. 224 00:13:08,970 --> 00:13:12,180 Аз вместо удари клавиатура пряк път, в резултат на което 225 00:13:12,180 --> 00:13:15,990 е да се задейства този софтуер, за да подкани ме за моята главна парола. 226 00:13:15,990 --> 00:13:18,780 След това напишете, че една голяма парола, а след това на браузъра 227 00:13:18,780 --> 00:13:21,090 автоматично попълва Каква е моята парола. 228 00:13:21,090 --> 00:13:24,960 Така че наистина, ако вземете нищо друго от днес по отношение на паролите, 229 00:13:24,960 --> 00:13:28,440 те са софтуер, който са на стойност сваляне или инвестиране в така 230 00:13:28,440 --> 00:13:30,750 че можете поне почивка че специално навик. 231 00:13:30,750 --> 00:13:33,374 И ако сте от типа, че е използване на Post-It отбелязва или like-- 232 00:13:33,374 --> 00:13:37,310 и шансовете са най-малко един от вас is-- този навик, също е достатъчно да се каже, 233 00:13:37,310 --> 00:13:38,340 трябва да бъде счупен. 234 00:13:38,340 --> 00:13:42,360 >> Сега, аз се случи да откриете, като резултат за използване на софтуера, следното. 235 00:13:42,360 --> 00:13:45,690 Бях се разпорежда, годни договореност, тази кошница с плодове, наскоро. 236 00:13:45,690 --> 00:13:49,380 И аз ударих специална клавиатура пряк път да влезете в сайта. 237 00:13:49,380 --> 00:13:53,325 И софтуера предизвика поп-нагоре, че каза, вие сте сигурни, 238 00:13:53,325 --> 00:13:55,950 Искате ли автоматично да представя това потребителско име и парола? 239 00:13:55,950 --> 00:13:57,690 Тъй като връзката е несигурна. 240 00:13:57,690 --> 00:14:01,450 >> Връзката не е използване HTTPS, за сигурна, 241 00:14:01,450 --> 00:14:04,900 използва този протокол, известен като SSL, Secure Sockets Layer. 242 00:14:04,900 --> 00:14:07,640 И наистина, ако се вгледате в горния ляв ъгъл на този сайт, 243 00:14:07,640 --> 00:14:12,880 това е просто www.ediblearrangements.com, не HTTPS, което не е толкова добро. 244 00:14:12,880 --> 00:14:15,480 >> Сега, аз бях curious-- може би това е просто бъг в софтуера. 245 00:14:15,480 --> 00:14:19,240 Разбира се, някои сайт като това, че много от нас знаят от 246 00:14:19,240 --> 00:14:24,046 е най-малко използване на криптиране или HTTPS URL адреси, за да влезете вътре. 247 00:14:24,046 --> 00:14:25,670 Така че аз имам малко любопитен тази сутрин. 248 00:14:25,670 --> 00:14:29,046 И аз излязох ми CS50 умения, Отворих Chrome инспектор. 249 00:14:29,046 --> 00:14:30,295 Тя дори не е много на умение. 250 00:14:30,295 --> 00:14:32,890 Това е просто да натиснете десния клавиатурата бърз достъп, за да отворите всичко. 251 00:14:32,890 --> 00:14:34,830 И тук е голям прозорец инспектор на Chrome. 252 00:14:34,830 --> 00:14:38,960 >> Но какво е всъщност малко трагично и смешно 253 00:14:38,960 --> 00:14:40,830 бяха тези две линии тук. 254 00:14:40,830 --> 00:14:44,570 Up в горната част, забележете адреса на които ми потребителско име и парола 255 00:14:44,570 --> 00:14:45,530 бяха представени. 256 00:14:45,530 --> 00:14:46,380 Нека Увеличаване. 257 00:14:46,380 --> 00:14:47,352 Именно това тук. 258 00:14:47,352 --> 00:14:49,060 И всичко това е нещо безинтересно, 259 00:14:49,060 --> 00:14:54,962 с изключение на нещо по пътя на отляво, който започва с HTTP: //. 260 00:14:54,962 --> 00:14:57,240 И така, след това ОК, може би те просто изпращане 261 00:14:57,240 --> 00:14:59,084 потребителското си име, което е не толкова голям проблем. 262 00:14:59,084 --> 00:15:00,500 Може би си паролата се предават по-късно. 263 00:15:00,500 --> 00:15:02,300 Това би било нещо като Интересно дизайнерско решение. 264 00:15:02,300 --> 00:15:03,100 >> Но Не. 265 00:15:03,100 --> 00:15:06,130 Ако след това погледнете по искане полезен товар, потребителското име и паролата 266 00:15:06,130 --> 00:15:08,470 I sent-- и аз се подиграваха те се за slide-- 267 00:15:08,470 --> 00:15:10,000 действително са били изпратени в ясен. 268 00:15:10,000 --> 00:15:13,792 Така че отидете на този уеб сайт и поръчате Годни договореност по този начин, 269 00:15:13,792 --> 00:15:16,750 и наистина, очевидно, за всичко това време съм бил поръчване от тях, 270 00:15:16,750 --> 00:15:19,800 Вашето потребителско име и парола се случва в цяла в ясен. 271 00:15:19,800 --> 00:15:22,120 Така че, честно казано, това е напълно неприемливо. 272 00:15:22,120 --> 00:15:26,240 И това е толкова лесно да се избегне неща по този начин, тъй като дизайнер на уеб сайт 273 00:15:26,240 --> 00:15:27,950 и като програмист на сайта. 274 00:15:27,950 --> 00:15:31,020 >> Но Takeaway тук ни като потребители на интернет страници 275 00:15:31,020 --> 00:15:35,700 е просто да се разбере, че всички Достатъчно е за един глупав дизайн 276 00:15:35,700 --> 00:15:40,010 решение, неоправдана дизайнерско решение, така че сега, ако знаете паролата ми е 277 00:15:40,010 --> 00:15:41,820 "Пурпурно" на този сайт, вероятно сте 278 00:15:41,820 --> 00:15:44,654 просто имам в цял куп други уеб сайтове, които сега имат. 279 00:15:44,654 --> 00:15:46,570 И там не е много на защита срещу това 280 00:15:46,570 --> 00:15:48,301 различно от това, което Chang направих тази сутрин. 281 00:15:48,301 --> 00:15:51,550 Той отиде до годни за консумация Договорености, които се намира надолу по улицата в Кеймбридж, 282 00:15:51,550 --> 00:15:53,430 и физически купих това за нас. 283 00:15:53,430 --> 00:15:57,490 Това е много по-сигурен от използване на уеб сайта в този случай. 284 00:15:57,490 --> 00:16:02,320 >> Но подробностите за да държи под око за е всъщност това, което е в горната част на браузъра до 285 00:16:02,320 --> 00:16:02,940 там. 286 00:16:02,940 --> 00:16:04,690 Но дори и това може да е малко измамно. 287 00:16:04,690 --> 00:16:07,002 Така че още един интересен пример и начин на защита 288 00:16:07,002 --> 00:16:09,960 срещу this-- и всъщност, нека се, че first-- начина на защита 289 00:16:09,960 --> 00:16:12,540 срещу това е техника че охраната ще 290 00:16:12,540 --> 00:16:14,810 наричаме двуфакторна автентикация. 291 00:16:14,810 --> 00:16:20,130 >> Някой знае ли какво е решението до проблеми, като това означава? 292 00:16:20,130 --> 00:16:23,110 Какво е двуфакторна автентикация? 293 00:16:23,110 --> 00:16:27,320 Или казано по друг начин, как много от вас са го използвате? 294 00:16:27,320 --> 00:16:28,650 ОК, така че няколко срамежливи хора. 295 00:16:28,650 --> 00:16:29,060 Но да. 296 00:16:29,060 --> 00:16:29,976 Видях ръката си отиде. 297 00:16:29,976 --> 00:16:31,510 Какво е двуфакторна автентикация? 298 00:16:31,510 --> 00:16:34,010 >> АУДИТОРИЯ: По принцип, в допълнение да въвеждате паролата си, 299 00:16:34,010 --> 00:16:37,390 вие също имат средно [недоловим] изпратени чрез текстово съобщение на телефона си 300 00:16:37,390 --> 00:16:39,460 в [недоловим]. 301 00:16:39,460 --> 00:16:40,460 DAVID J. Malan: Точно така. 302 00:16:40,460 --> 00:16:44,150 В допълнение към някои първична форма на удостоверяване, като парола, 303 00:16:44,150 --> 00:16:47,190 бъдете помолени за вторичен фактор, който обикновено е 304 00:16:47,190 --> 00:16:49,740 нещо, което трябва физически за вас, макар че 305 00:16:49,740 --> 00:16:51,610 може да бъде нещо съвсем друго. 306 00:16:51,610 --> 00:16:54,630 И това нещо, което е типично мобилен телефон в наши дни, за които можете да получите 307 00:16:54,630 --> 00:16:59,200 изпрати временно текстово съобщение, което казва, "Вашата временен пропуск код е 12345." 308 00:16:59,200 --> 00:17:01,280 >> Така че в допълнение към моя парола "червено", аз също 309 00:17:01,280 --> 00:17:03,916 Трябва да напишете каквото и уебсайта ми texted. 310 00:17:03,916 --> 00:17:06,290 Или, ако имате това с банка или инвестиционна сметка, 311 00:17:06,290 --> 00:17:08,123 понякога имат тези малки донгъли, че 312 00:17:08,123 --> 00:17:11,760 всъщност има псевдо-случайна брой генератор, вграден в тях, 313 00:17:11,760 --> 00:17:15,849 но както устройството и банката знам какво си първоначална семена 314 00:17:15,849 --> 00:17:19,710 така че те да знаят, дори и като малко код на вашето малко ключодържател 315 00:17:19,710 --> 00:17:22,380 марширува напред всяка минута или две, променящи се стойности, 316 00:17:22,380 --> 00:17:25,260 така прави тази промяна стойност на сървъра на банката 317 00:17:25,260 --> 00:17:28,620 така че те да могат по подобен начин автентичността вас, а не само с парола, 318 00:17:28,620 --> 00:17:30,024 но с този временен код. 319 00:17:30,024 --> 00:17:31,690 Сега, всъщност можете да направите това в Google. 320 00:17:31,690 --> 00:17:33,606 И честно казано, това е добър навик да отида в, 321 00:17:33,606 --> 00:17:36,180 особено ако сте с помощта Gmail през цялото време на браузър. 322 00:17:36,180 --> 00:17:39,880 Ако отидете на този адрес тук, което е в слайдовете онлайн за днес, а след това 323 00:17:39,880 --> 00:17:43,579 кликнете върху 2-Step проверка, същото действително нещо там. 324 00:17:43,579 --> 00:17:45,870 Вие ще бъдете подканени да даде ги мобилния си телефонен номер. 325 00:17:45,870 --> 00:17:49,660 И след това, всеки път, когато влизате в Gmail, ще бъде не само попитах 326 00:17:49,660 --> 00:17:53,480 за вашата парола, но също така и за малко код, който бива изпратен на вашия телефон 327 00:17:53,480 --> 00:17:54,190 временно. 328 00:17:54,190 --> 00:17:57,894 И така, докато сте активирали бисквитки и толкова дълго, колкото не е изрично 329 00:17:57,894 --> 00:18:00,060 излезете, ще имате само да направя, че от време на време, 330 00:18:00,060 --> 00:18:01,870 като, когато седнеш на нов компютър. 331 00:18:01,870 --> 00:18:05,320 >> И нагоре и тук, е, че ако седнете в някои интернет кафе стил 332 00:18:05,320 --> 00:18:07,380 компютър или просто компютър приятел, дори 333 00:18:07,380 --> 00:18:09,710 ако този приятел злонамерено или неволно 334 00:18:09,710 --> 00:18:13,580 има някои клавиатура дървар инсталирано на неговия или нейния компютър, 335 00:18:13,580 --> 00:18:15,640 като че ли всичко тип се логнат, 336 00:18:15,640 --> 00:18:19,170 най-малко, че вторият фактор, който временен код, е мимолетно. 337 00:18:19,170 --> 00:18:21,630 Така че той или тя или който и да е компрометирана компютъра 338 00:18:21,630 --> 00:18:24,890 Не мога да вляза в теб впоследствие, дори ако всичко останало 339 00:18:24,890 --> 00:18:27,890 е уязвим или дори некриптиран напълно. 340 00:18:27,890 --> 00:18:29,760 Facebook има това също с този URL тук, 341 00:18:29,760 --> 00:18:32,070 където можете да кликнете върху Вход одобрения. 342 00:18:32,070 --> 00:18:35,500 Така че тук, също, ако не искам приятели, за да мушкам хора, 343 00:18:35,500 --> 00:18:40,140 вие не искате да се изпълзяват на Facebook или публикуване на статуси за теб, 344 00:18:40,140 --> 00:18:42,479 двуфакторна автентикация Тук вероятно е нещо добро. 345 00:18:42,479 --> 00:18:44,520 И тогава там е това друга техника като цяло, 346 00:18:44,520 --> 00:18:46,853 само одит, който е дори по- нещо добро за нас, хората, 347 00:18:46,853 --> 00:18:49,950 ако двуфакторна окаже досадно, което разбира се, че може, или просто не е 348 00:18:49,950 --> 00:18:53,930 достъпно на някой сайт, минимално държи под око, ако и когато 349 00:18:53,930 --> 00:18:57,650 вие влизате в сайтове, ако те позволите, е добра техника, също. 350 00:18:57,650 --> 00:19:01,300 Така Facebook също ви дава тази Вход за уведомления разполагат, при което 351 00:19:01,300 --> 00:19:06,240 по всяко време Facebook осъзнава, хм, Дейвид има влезете в някои от компютър или телефон 352 00:19:06,240 --> 00:19:09,710 че ние никога не сте виждали преди от един IP адрес, който изглежда непознато, 353 00:19:09,710 --> 00:19:12,320 те поне ще ви изпратим имейл до каквото и имейл адрес 354 00:19:12,320 --> 00:19:14,750 имате на файл, казвайки: значи това изглежда подозрително? 355 00:19:14,750 --> 00:19:17,590 Ако е така, да промените паролата си незабавно. 356 00:19:17,590 --> 00:19:19,610 И така, има също просто одит поведение 357 00:19:19,610 --> 00:19:21,940 дори и след като сте били компрометирана, може поне 358 00:19:21,940 --> 00:19:25,980 стесни прозореца по време на които са уязвими. 359 00:19:25,980 --> 00:19:29,910 >> Добре, на всички въпроси, за тези неща до този момент? 360 00:19:29,910 --> 00:19:35,510 Днес е денят, за да получите всички вашата параноя потвърди или отрече. 361 00:19:35,510 --> 00:19:36,820 Това е най-вече потвърди, за съжаление. 362 00:19:36,820 --> 00:19:37,210 Така ли? 363 00:19:37,210 --> 00:19:39,223 >> АУДИТОРИЯ: [недоловим] телефон, какво ще стане ако телефонът ви паузи, 364 00:19:39,223 --> 00:19:41,010 и след това е винаги трудно да verify-- 365 00:19:41,010 --> 00:19:41,295 >> DAVID J. Malan: True. 366 00:19:41,295 --> 00:19:43,330 >> АУДИТОРИЯ: Или ако сте в друг страна, и те не ви нека 367 00:19:43,330 --> 00:19:44,505 влезете, защото [недоловим]. 368 00:19:44,505 --> 00:19:45,630 DAVID J. Malan: Абсолютно. 369 00:19:45,630 --> 00:19:48,780 И така, това са допълнителните разходи, които ви понасят. 370 00:19:48,780 --> 00:19:51,040 Винаги има тази тема на компромис, в края на краищата. 371 00:19:51,040 --> 00:19:53,748 И тогава, ако загубите телефона си, ако тя се разпада, ако сте в чужбина, 372 00:19:53,748 --> 00:19:56,382 или просто не разполагат с сигнал, като 3G или LTE сигнал, 373 00:19:56,382 --> 00:19:58,340 не може в действителност да бъде в състояние да удостовери. 374 00:19:58,340 --> 00:20:00,520 >> И отново, тези две са компромиси. 375 00:20:00,520 --> 00:20:03,670 И понякога, че може да се създаде много работа за вас като резултат. 376 00:20:03,670 --> 00:20:08,130 Но това наистина зависи, а след това, на това, което се очаква цената да ви 377 00:20:08,130 --> 00:20:10,980 е нещо същество компрометирана напълно. 378 00:20:10,980 --> 00:20:15,300 >> Така SSL, а след това, е тази техника, че всички ние обикновено приемаме за даденост 379 00:20:15,300 --> 00:20:18,970 или да поеме е там, макар и това очевидно не е така. 380 00:20:18,970 --> 00:20:23,339 И вие все още може да въведе в заблуждение хора, все пак, дори и с това. 381 00:20:23,339 --> 00:20:24,630 Така че тук е един пример на банка. 382 00:20:24,630 --> 00:20:25,860 >> Това е Банката на Америка. 383 00:20:25,860 --> 00:20:28,730 Има цял куп от тях на площад Харвард и след това. 384 00:20:28,730 --> 00:20:32,530 И забележи, че в най-горната част на на екрана, има един, наистина, HTTPS. 385 00:20:32,530 --> 00:20:35,370 И това е още по-зелен и подчерта за нас 386 00:20:35,370 --> 00:20:39,550 показва, че това е наистина легитимно защитен уебсайт, 387 00:20:39,550 --> 00:20:41,420 или така че ние сме били обучени да повярвам. 388 00:20:41,420 --> 00:20:46,416 >> Сега освен това, обаче, забележите, че ако увеличите, 389 00:20:46,416 --> 00:20:48,790 там е това нещо тук, където ще бъдете подканени да влезете. 390 00:20:48,790 --> 00:20:54,920 Какво означава това катинар означава право там, в непосредствена близост до името ми да пита? 391 00:20:54,920 --> 00:20:57,890 Това е доста често на уебсайтове, също. 392 00:20:57,890 --> 00:21:01,120 Какво означава това катинар означава това? 393 00:21:01,120 --> 00:21:02,453 Изглежда като че ли знаете. 394 00:21:02,453 --> 00:21:03,420 >> АУДИТОРИЯ: Това не означава нищо. 395 00:21:03,420 --> 00:21:04,230 >> DAVID J. Malan: Тя не означава нищо. 396 00:21:04,230 --> 00:21:07,790 Това означава, че Банката на Америка знае как да пишат HTML с изображения тагове, нали? 397 00:21:07,790 --> 00:21:12,080 Това наистина не означава нищо, защото дори ние, с помощта на първия ден на своя външен вид 398 00:21:12,080 --> 00:21:15,760 в HTML, може да кодира до страница с червен фон и изображение, 399 00:21:15,760 --> 00:21:18,910 като GIF или какво ли не, че се случва да изглежда като катинар. 400 00:21:18,910 --> 00:21:20,890 И все пак, това е супер често срещани в интернет страници, 401 00:21:20,890 --> 00:21:24,000 защото ние сме били обучени да се предположи, че, о, катинар означава сигурна, 402 00:21:24,000 --> 00:21:25,760 когато тя наистина просто означава, че вие ​​знаете HTML. 403 00:21:25,760 --> 00:21:28,840 >> Така например, през деня, можех са просто сложи това в моя сайт, 404 00:21:28,840 --> 00:21:31,660 твърдейки, че тя е сигурна, и питам, ефективно, 405 00:21:31,660 --> 00:21:33,590 за потребителски имена и пароли на хората. 406 00:21:33,590 --> 00:21:36,310 Така че търсите в URL адреса е най-малко по-добра представа, 407 00:21:36,310 --> 00:21:39,580 защото, който е вграден в Chrome или каквото и браузър, който използвате. 408 00:21:39,580 --> 00:21:41,470 Но дори и тогава, понякога нещата могат да се объркат. 409 00:21:41,470 --> 00:21:45,940 И в действителност, вие винаги може да не е вижте HTTPS, камо ли в зелено. 410 00:21:45,940 --> 00:21:48,126 >> Има ли някой от вас някога виждали такъв екран като този? 411 00:21:48,126 --> 00:21:50,000 Може да се наложи, всъщност, по-рано през октомври, 412 00:21:50,000 --> 00:21:54,740 когато съм забравил да плати за нашата SSL сертификат, както се нарича, 413 00:21:54,740 --> 00:21:58,400 и ние търсехме като това за един час или два. 414 00:21:58,400 --> 00:22:01,830 Така че, най-вероятно сте виждали неща по този начин, с удар-чрез, 415 00:22:01,830 --> 00:22:05,240 като червена линия, чрез протокола в URL адреса 416 00:22:05,240 --> 00:22:08,010 или някакъв вид на екран, който е най-малко ви съветваме 417 00:22:08,010 --> 00:22:09,760 за опитите да се процедира по-нататък. 418 00:22:09,760 --> 00:22:12,540 И Google тук е поканил можете да се върнете към безопасността. 419 00:22:12,540 --> 00:22:17,120 >> Сега, в този случай, това просто означава, че сертификат за SSL, че сме използвали, 420 00:22:17,120 --> 00:22:22,220 големите, математически полезни номера които са свързани със сървъра на CS50, 421 00:22:22,220 --> 00:22:23,949 вече не са валидни. 422 00:22:23,949 --> 00:22:26,490 И в действителност, ние можем да симулира това, както можете да на вашия лаптоп. 423 00:22:26,490 --> 00:22:30,270 Ако отида в Chrome тук, и нека отидем facebook.com, 424 00:22:30,270 --> 00:22:32,230 и тя изглежда като това е сигурно. 425 00:22:32,230 --> 00:22:36,910 Но нека да вървим напред и сега кликнете на катинара тук. 426 00:22:36,910 --> 00:22:40,030 >> И ме пусна да Connection, Информация сертификат. 427 00:22:40,030 --> 00:22:42,020 И наистина, това, което ще виждате тук, е един куп 428 00:22:42,020 --> 00:22:46,160 на детайли с по-ниско ниво за които facebook.com наистина е така. 429 00:22:46,160 --> 00:22:49,380 Изглежда, че те са платили пари, за да една компания, наречена може би DigiCert Висока 430 00:22:49,380 --> 00:22:54,420 Уверението, че е обещал да каже на останалата част от света 431 00:22:54,420 --> 00:22:57,250 че, ако браузъра някога вижда на certificate-- можеш да се сетиш 432 00:22:57,250 --> 00:23:00,291 от него буквално като удостоверение, че Изглежда, че сирене нещо отгоре 433 00:23:00,291 --> 00:23:04,360 left-- след facebook.com е този, който те казват, те са, защото през цялото това време, когато 434 00:23:04,360 --> 00:23:07,160 посещавате уебсайт, като cs50.harvard.edu или facebook.com 435 00:23:07,160 --> 00:23:11,880 или gmail.com, които използват HTTPS URL адреси, зад кулисите, 436 00:23:11,880 --> 00:23:15,190 има този вид сделка случва автоматично 437 00:23:15,190 --> 00:23:18,060 за вас, като facebook.com, в този случай, 438 00:23:18,060 --> 00:23:22,150 се изпраща на вашия браузър си т.нар сертификат SSL, или по-скоро, 439 00:23:22,150 --> 00:23:23,380 му публичен ключ, 440 00:23:23,380 --> 00:23:25,600 и след това вашия браузър използва този публичен ключ 441 00:23:25,600 --> 00:23:29,600 впоследствие да изпраща криптирана трафик към и от него. 442 00:23:29,600 --> 00:23:32,360 >> Но там е цялата тази йерархия в света на фирми 443 00:23:32,360 --> 00:23:36,430 че ти плащат пари за това, кой ще След това свидетелствам, в цифров смисъл, 444 00:23:36,430 --> 00:23:41,330 че вие ​​наистина сте facebook.com или вашият сървър е наистина cs50.harvard.edu. 445 00:23:41,330 --> 00:23:44,580 И вграден в браузъра, като Chrome и IE и Firefox, 446 00:23:44,580 --> 00:23:48,260 е списък на всички онези, т.нар сертифициращи органи 447 00:23:48,260 --> 00:23:51,360 които са разрешени от Microsoft и Google и Mozilla 448 00:23:51,360 --> 00:23:55,410 за да потвърди или отрече, че facebook.com е този, който тя казва, че е така. 449 00:23:55,410 --> 00:23:57,430 Но уловката е, че тези неща да изтекат. 450 00:23:57,430 --> 00:24:02,670 В действителност, Facebook прилича той изтича през следващия октомври, през 2015. 451 00:24:02,670 --> 00:24:06,490 >> Така че всъщност можем да симулира това, ако отида в моя Mac, за да ми System Preferences, 452 00:24:06,490 --> 00:24:11,070 и аз отивам в Дата и час, и Аз отивам в Дата и час тук, 453 00:24:11,070 --> 00:24:17,190 и аз отключите тази here-- щастие, ние не разкри парола тази time-- 454 00:24:17,190 --> 00:24:20,660 и сега отивам надолу, за да махнете отметката от това. 455 00:24:20,660 --> 00:24:25,660 И нека actually-- Опа, това е не толкова интересна, тъй като правиш това. 456 00:24:25,660 --> 00:24:30,140 Ние сме буквално в бъдеще сега, което означава, че това е това, което е като 2020. 457 00:24:30,140 --> 00:24:36,360 Ако аз сега се презарежда page-- нека го направим в Ingognito mode-- 458 00:24:36,360 --> 00:24:40,910 ако презаредите страницата, там отиваме. 459 00:24:40,910 --> 00:24:45,820 >> Така че сега, компютъра ми мисли това е 2020 г., но моят браузър 460 00:24:45,820 --> 00:24:49,810 знае, че това удостоверение от Facebook изтича, разбира се, през 2015 г.. 461 00:24:49,810 --> 00:24:51,360 Така че това ми дава този червен съобщение. 462 00:24:51,360 --> 00:24:53,550 Сега, за щастие, браузърите като Chrome има действително 463 00:24:53,550 --> 00:24:55,480 го прави доста трудно да се процедира все пак. 464 00:24:55,480 --> 00:24:57,300 Те наистина ме искат да се върнем към безопасността. 465 00:24:57,300 --> 00:25:00,550 >> Ако кликнете тук за Advance, това е Ще ми кажеш ли малко повече подробности. 466 00:25:00,550 --> 00:25:02,580 И ако наистина искате да продължи, те ще ви позволи 467 00:25:02,580 --> 00:25:06,250 отида до facebook.com, което е, отново, не са безопасни, като в този момент 468 00:25:06,250 --> 00:25:08,310 Ще видя Facebook началната страница, като този. 469 00:25:08,310 --> 00:25:10,080 Но тогава други неща изглежда да е счупване. 470 00:25:10,080 --> 00:25:12,825 Какво е най-вероятно да се счупи в този момент? 471 00:25:12,825 --> 00:25:13,700 АУДИТОРИЯ: JavaScript. 472 00:25:13,700 --> 00:25:15,540 DAVID J. Malan: Подобно на JavaScripts и / или CSS 473 00:25:15,540 --> 00:25:17,460 файловете са по подобен начин натъкват на тази грешка. 474 00:25:17,460 --> 00:25:19,830 Така че това е просто една лоша ситуация като цяло. 475 00:25:19,830 --> 00:25:24,790 Но въпросът тук е, че най-малко Facebook наистина има SSL поддръжка 476 00:25:24,790 --> 00:25:30,040 за техните сървъри, тъй като много уеб сайтове, направя, но не е задължително всички. 477 00:25:30,040 --> 00:25:33,360 >> Но това не е само за храна за вкъщи тук. 478 00:25:33,360 --> 00:25:36,040 Оказва се, че дори SSL Доказано е, 479 00:25:36,040 --> 00:25:37,810 да бъде несигурен по някакъв начин. 480 00:25:37,810 --> 00:25:40,400 Така че аз съм нещо като намеква, че SSL, добре. 481 00:25:40,400 --> 00:25:44,250 Потърсете HTTPS URL адреси, а животът е добро, защото всички си HTTP трафик 482 00:25:44,250 --> 00:25:46,180 и горни и съдържание е кодирано. 483 00:25:46,180 --> 00:25:49,560 >> Никой не може да го прихване в средна, с изключение на т.нар мъж 484 00:25:49,560 --> 00:25:50,454 в средата. 485 00:25:50,454 --> 00:25:52,870 Това е общата техника в света на сигурността известен 486 00:25:52,870 --> 00:25:54,420 като атака човек-в-средата. 487 00:25:54,420 --> 00:25:57,067 Да предположим, че вие ​​сте този малък лаптоп тук в ляво, 488 00:25:57,067 --> 00:25:59,900 и предполагам, че се опитвате да посетите сървъра там отдясно, 489 00:25:59,900 --> 00:26:00,990 като facebook.com. 490 00:26:00,990 --> 00:26:03,940 >> Но да предположим, че в между вас и Facebook, 491 00:26:03,940 --> 00:26:07,750 е един куп други сървъри и оборудване, като комутатори и маршрутизатори, 492 00:26:07,750 --> 00:26:11,530 DNS сървъри, DHCP сървъри, никой от които контролират. 493 00:26:11,530 --> 00:26:15,280 Тя може да бъде контролирана от Starbucks или Харвард или Comcast или други подобни. 494 00:26:15,280 --> 00:26:18,090 Е, предполагам, че някой злонамерено, във вашата мрежа, 495 00:26:18,090 --> 00:26:20,800 между вас и Facebook, е в състояние да ви кажа, 496 00:26:20,800 --> 00:26:24,740 че, знаеш ли какво, на IP адреса на Facebook не е това, което мисля, че е така. 497 00:26:24,740 --> 00:26:26,250 Това е вместо това IP. 498 00:26:26,250 --> 00:26:28,740 >> И така, вашият браузър е подмамени в молещата 499 00:26:28,740 --> 00:26:30,750 трафик от друг компютър напълно. 500 00:26:30,750 --> 00:26:35,350 Е, предполагам, че този компютър просто изглежда изобщо 501 00:26:35,350 --> 00:26:38,859 на трафика, който поиска от Facebook и всички уеб страници 502 00:26:38,859 --> 00:26:40,400 че сте подали молба от Facebook. 503 00:26:40,400 --> 00:26:45,700 И всеки път, когато вижда в трафика на URL, който започва с HTTPS, 504 00:26:45,700 --> 00:26:49,250 това динамично, от лети, тя пренаписва като HTTP. 505 00:26:49,250 --> 00:26:53,490 И всеки път, когато види на място хедър, местоположение на дебелото черво, 506 00:26:53,490 --> 00:26:55,930 като ние използваме, за да се пренасочат потребителя, тези също 507 00:26:55,930 --> 00:27:00,690 може да се променя от този човек в средата от HTTPS за HTTP. 508 00:27:00,690 --> 00:27:04,170 >> Така че дори и да си мощ Мислите, че сте в реалния Facebook, 509 00:27:04,170 --> 00:27:07,860 това не е толкова трудно за противник с физически достъп 510 00:27:07,860 --> 00:27:10,630 към вашата мрежа просто върнете страници за вас, че 511 00:27:10,630 --> 00:27:12,650 изглежда като Gmail, че изглежда като Facebook, 512 00:27:12,650 --> 00:27:14,880 и наистина адреса е идентични, защото те са 513 00:27:14,880 --> 00:27:19,410 преструвайки се, че има, че същото име на хост поради някои експлоатация на DNS 514 00:27:19,410 --> 00:27:21,340 или някаква друга система, като това. 515 00:27:21,340 --> 00:27:23,894 И резултатът тогава е че ние, хората биха могли само 516 00:27:23,894 --> 00:27:26,810 осъзнават, че, ОК, това изглежда като Gmail или поне по-старата версия, 517 00:27:26,810 --> 00:27:29,480 какъвто е този слайд от по-стара презентация. 518 00:27:29,480 --> 00:27:34,250 Но изглежда, че this-- http://www.google.com. 519 00:27:34,250 --> 00:27:37,370 >> Така че тук, също, реалността е, че колко от вас, 520 00:27:37,370 --> 00:27:41,290 когато отидете на Facebook или Gmail или всеки уебсайт и вие знаете нещо малко 521 00:27:41,290 --> 00:27:47,060 за SSL, колко от вас физически въведете HTTPS: // и след това на сайта 522 00:27:47,060 --> 00:27:48,990 име, Enter. 523 00:27:48,990 --> 00:27:52,940 Повечето от нас просто да напишете, като, CS50, натиснете Enter, или F-A за Facebook 524 00:27:52,940 --> 00:27:54,770 и натиснете Enter, и го оставете да се попълни автоматично. 525 00:27:54,770 --> 00:27:57,620 Но зад кулисите, ако вие гледате HTTP трафик, 526 00:27:57,620 --> 00:28:00,090 вероятно има цял куп на тези заглавки местоположение 527 00:28:00,090 --> 00:28:03,580 които са ви изпраща от Facebook да www.facebook.com 528 00:28:03,580 --> 00:28:07,250 да https://www.facebook.com. 529 00:28:07,250 --> 00:28:12,300 >> Така че това е един или повече HTTP сделки където вашата информация е напълно 530 00:28:12,300 --> 00:28:15,102 изпраща в ясен, не криптиране, каквато. 531 00:28:15,102 --> 00:28:17,810 Сега, това може да не е толкова голям се справят, ако всичко, което се опитваме да направим 532 00:28:17,810 --> 00:28:20,980 е достъп до началната страница, вие не сте изпращане на вашето потребителско име и парола. 533 00:28:20,980 --> 00:28:23,130 Но това, което е под качулката, особено 534 00:28:23,130 --> 00:28:28,130 за уеб сайтове PHP-базирани, че е също се изпраща напред и назад, когато 535 00:28:28,130 --> 00:28:33,820 можете да посетите някои уеб страница, ако който използва сайта, да речем, PHP 536 00:28:33,820 --> 00:28:37,370 и изпълнява функции като pset7? 537 00:28:37,370 --> 00:28:40,840 Какъв е бил изпратен обратно и напред във вашите HTTP хедъри, че ви е дал 538 00:28:40,840 --> 00:28:44,903 достъп до тази красива полезна супер глобален PHP? 539 00:28:44,903 --> 00:28:45,710 >> Публика: Cookies. 540 00:28:45,710 --> 00:28:49,020 >> DAVID J. Malan: Cookies, специално PHP sess ID бисквитка. 541 00:28:49,020 --> 00:28:53,100 Така че си спомняте, ако отидем до да речем, отново cs50.harvard.edu, 542 00:28:53,100 --> 00:28:56,440 но този път, нека да се отвори Раздела Network, и сега, тук, 543 00:28:56,440 --> 00:29:01,570 нека буквално просто отидете да http://cs50.harvard.edu 544 00:29:01,570 --> 00:29:03,030 и след това натиснете Enter. 545 00:29:03,030 --> 00:29:05,520 И след това погледнете на екрана тук. 546 00:29:05,520 --> 00:29:09,600 Забележете, че ние наистина имам обратно 301 преместена за постоянно 547 00:29:09,600 --> 00:29:12,820 съобщение, което означава, че има глава за място тук, 548 00:29:12,820 --> 00:29:15,610 който сега ме пренасочва към HTTPS. 549 00:29:15,610 --> 00:29:21,330 >> Но уловката е, че ако аз вече имах бисквитка, поставен на ръката ми практика, 550 00:29:21,330 --> 00:29:25,890 както говорихме преди, и I човешкия вид несъзнателно 551 00:29:25,890 --> 00:29:29,090 Просто посетете несигурен версия, както и браузъра си го взема 552 00:29:29,090 --> 00:29:34,020 върху себе си, за да покаже, че ръката печат за на първата заявка, която е чрез HTTP, 553 00:29:34,020 --> 00:29:36,610 всеки човек в центъра, всеки противник в средата, 554 00:29:36,610 --> 00:29:39,380 теоретично може просто да видя тези HTTP хедъри, просто 555 00:29:39,380 --> 00:29:40,980 като гледаме ги тук. 556 00:29:40,980 --> 00:29:43,310 Това е само веднъж сте говори с HTTPS 557 00:29:43,310 --> 00:29:47,780 URL се, че ръката се получи печат криптирани, а ла Цезар или Vigenere, 558 00:29:47,780 --> 00:29:50,500 но с красиви алгоритъм напълно. 559 00:29:50,500 --> 00:29:53,611 Така че тук, също, дори ако уебсайтове използват HTTPS, 560 00:29:53,611 --> 00:29:56,860 ние, хората са обусловени, благодарение до авто-пълни и други техники, 561 00:29:56,860 --> 00:29:59,827 дори да не си помисля потенциалните последици. 562 00:29:59,827 --> 00:30:01,160 Сега, има начини около това. 563 00:30:01,160 --> 00:30:03,140 Например, много уеб сайтове могат да бъдат конфигурирани 564 00:30:03,140 --> 00:30:05,848 така че, след като имате тази ръка печат, можете да кажете на браузъра, 565 00:30:05,848 --> 00:30:07,750 тази ръка печат е само за SSL връзки. 566 00:30:07,750 --> 00:30:11,702 Браузърът не трябва да представи това за мен, освен ако не е над SSL. 567 00:30:11,702 --> 00:30:13,410 Но много сайтове не се занимавам с това. 568 00:30:13,410 --> 00:30:17,260 И много сайтове очевидно дори не се занимавам с SSL изобщо. 569 00:30:17,260 --> 00:30:20,540 >> Така че за повече от това, там е всъщност дори повече мръсотия в тази презентация 570 00:30:20,540 --> 00:30:24,010 че колегата даде на така наречената черна конференция шапка преди няколко години, 571 00:30:24,010 --> 00:30:26,468 където има дори други злонамерени трикове хората са използвали. 572 00:30:26,468 --> 00:30:28,630 Можете да си спомните това понятие на фавикон, които 573 00:30:28,630 --> 00:30:32,270 е като малко лого, което е често в прозореца на браузъра. 574 00:30:32,270 --> 00:30:34,610 Е, това, което е било по- често сред лошите момчета е 575 00:30:34,610 --> 00:30:36,340 да Fab икони, които изглеждат като какво? 576 00:30:36,340 --> 00:30:39,054 577 00:30:39,054 --> 00:30:39,970 АУДИТОРИЯ: [недоловим]. 578 00:30:39,970 --> 00:30:40,280 DAVID J. Malan: отново кажа? 579 00:30:40,280 --> 00:30:41,490 АУДИТОРИЯ: Уебсайтовете. 580 00:30:41,490 --> 00:30:42,130 DAVID J. Malan: Не уебсайт. 581 00:30:42,130 --> 00:30:43,394 Така фавикон, мъничко икона. 582 00:30:43,394 --> 00:30:45,560 Какво ще бъде най- злонамерени, манипулативно нещо 583 00:30:45,560 --> 00:30:47,832 бихте могли да направите на Вашия уебсайт стандартна икона изглежда? 584 00:30:47,832 --> 00:30:48,790 Аудитория: A зелен заключване. 585 00:30:48,790 --> 00:30:49,080 DAVID J. Malan: Какво е това? 586 00:30:49,080 --> 00:30:50,160 АУДИТОРИЯ: Малко зелено заключване. 587 00:30:50,160 --> 00:30:51,960 DAVID J. Malan: Харесвам зелена заключване, точно така. 588 00:30:51,960 --> 00:30:55,242 Така че можете да получите този естетически на малък зелен катинар, 589 00:30:55,242 --> 00:30:57,950 намеквайки за света, о, ние сме осигуряване, когато, отново, всичко това означава, 590 00:30:57,950 --> 00:31:00,210 е, че вие ​​знаете някои HTML. 591 00:31:00,210 --> 00:31:02,895 Така сесия отвличане се отнася до точно това. 592 00:31:02,895 --> 00:31:05,936 Ако има някой, който е вид смъркане ефира в тази стая тук 593 00:31:05,936 --> 00:31:09,150 или има физически достъп до мрежа и може да видите вашите бисквитки 594 00:31:09,150 --> 00:31:12,152 той или тя може да вземете, че PHP sess ID бисквитка. 595 00:31:12,152 --> 00:31:13,860 И тогава, ако те са достатъчно познания, за да знаете 596 00:31:13,860 --> 00:31:18,200 как да изпратите бисквитката като свой собствен ръка печат само чрез копиране на тази стойност 597 00:31:18,200 --> 00:31:20,860 и изпращане на заглавията на HTTP, Някой може много лесно 598 00:31:20,860 --> 00:31:23,510 влезете в някоя от Facebook сметки или сметки Gmail 599 00:31:23,510 --> 00:31:27,355 или Twitter акаунти, които са тук, отворени в стаята, ако не използвате SSL 600 00:31:27,355 --> 00:31:31,500 и ако сайта е не използват SSL правилно. 601 00:31:31,500 --> 00:31:33,690 >> Така че нека да преход към друг. 602 00:31:33,690 --> 00:31:34,700 Така че друга истинска история. 603 00:31:34,700 --> 00:31:38,680 И това е просто разби в новини преди седмица или две. 604 00:31:38,680 --> 00:31:41,520 Verizon е правил много лошо нещо, 605 00:31:41,520 --> 00:31:45,110 и в най-добрите хора могат да кажат, тъй като най-малко 2012 г., с което, 606 00:31:45,110 --> 00:31:51,550 когато имате достъп до сайтове чрез Verizon мобилен телефон, независимо от производителя и да е, 607 00:31:51,550 --> 00:31:54,150 те са надменни, Както разказва историята, 608 00:31:54,150 --> 00:31:59,890 инжектиране в цялата си HTTP трафик свой собствен HTTP хедър. 609 00:31:59,890 --> 00:32:04,040 И че заглавните вид като this-- X-UIDH. 610 00:32:04,040 --> 00:32:06,465 UID е като уникален идентификатор или потребителското си име. 611 00:32:06,465 --> 00:32:09,660 И X просто означава, че това е обичай служебната информация, която не е стандарт. 612 00:32:09,660 --> 00:32:11,720 >> Но какво означава това е, че ако спра, 613 00:32:11,720 --> 00:32:14,640 Например, всеки сайт на моя телефон here-- 614 00:32:14,640 --> 00:32:18,310 и аз съм с Verizon, както ми carrier-- въпреки че навигаторът ми не вали 615 00:32:18,310 --> 00:32:21,110 изпрати този HTTP хедър, Verizon, веднага 616 00:32:21,110 --> 00:32:23,650 сигналът навърши мобилен телефон кула някъде, 617 00:32:23,650 --> 00:32:28,187 е известно време инжектирате служебната информация в цялата ни HTTP трафик. 618 00:32:28,187 --> 00:32:29,020 Защо те правят това? 619 00:32:29,020 --> 00:32:31,920 Предполага се, че от съображения за проследяване, за рекламни причини. 620 00:32:31,920 --> 00:32:36,280 >> Но решението за глупаво дизайн тук е, че HTTP хедър, 621 00:32:36,280 --> 00:32:41,090 тъй като вие знаете от pset6, е получена от всеки уеб сървър 622 00:32:41,090 --> 00:32:42,540 че сте подали молба за трафик. 623 00:32:42,540 --> 00:32:44,248 Така че през цялото това време, ако сте били на посещение 624 00:32:44,248 --> 00:32:48,019 Facebook или Gmail или всеки сайт който не използва SSL всички time-- 625 00:32:48,019 --> 00:32:49,810 и всъщност, тези две за щастие сега do-- 626 00:32:49,810 --> 00:32:52,670 но и други сайтове, които да не се използва SSL през цялото време, 627 00:32:52,670 --> 00:32:54,930 Verizon е по същество били засаждане, насилствено, 628 00:32:54,930 --> 00:32:58,180 печат ръка на всички ни ръце, които дори не виждат, 629 00:32:58,180 --> 00:33:00,330 а по-скоро, интернет сайта на крайните направя. 630 00:33:00,330 --> 00:33:02,890 И така не е било, че трудно за всеки в интернет 631 00:33:02,890 --> 00:33:05,245 използвате уеб сървър, за да осъзнават, ох, това е Дейвид, 632 00:33:05,245 --> 00:33:09,340 или, ох, това е Дейвин, дори ако сме строг за изчистване на нашите бисквитки, 633 00:33:09,340 --> 00:33:10,772 защото тя не идва от нас. 634 00:33:10,772 --> 00:33:11,980 Тя идва от превозвача. 635 00:33:11,980 --> 00:33:14,896 >> Те правят справка на вашия телефонен номер и след това казват, о, това е Дейвид. 636 00:33:14,896 --> 00:33:18,890 Позволете ми да се инжектира уникален идентификатор, така че нашите рекламодатели или който и да 637 00:33:18,890 --> 00:33:19,850 да следи за това. 638 00:33:19,850 --> 00:33:23,769 Така че това е наистина много, много, много лошо и ужасяващо. 639 00:33:23,769 --> 00:33:26,060 И аз ще ви насърчи да да разгледаме, например, 640 00:33:26,060 --> 00:33:29,950 в този URL, който трябва да се отказваме Аз всъщност се опитах това тази сутрин. 641 00:33:29,950 --> 00:33:31,970 Писах малко скрипт, Казано по този URL, 642 00:33:31,970 --> 00:33:34,770 го посети с моя собствен Verizon Cellphone след завъртане Wi-Fi изключен. 643 00:33:34,770 --> 00:33:38,010 Така че трябва да се обърне Wi-Fi на разстояние, така че който използвате 3G или LTE или други подобни. 644 00:33:38,010 --> 00:33:40,010 И тогава, ако посетите този URL, всичко това скрипт 645 00:33:40,010 --> 00:33:41,770 прави за вас, момчета, ако искате да играете, 646 00:33:41,770 --> 00:33:45,380 го изплюва какво HTTP хедъри телефонът ви е изпращането на нашия сървър. 647 00:33:45,380 --> 00:33:48,510 И действително, в справедливостта, нали Не виждате това тази сутрин, което 648 00:33:48,510 --> 00:33:51,430 ме кара да мисля, че на всеки от местните мобилен телефон кула I е свързан с 649 00:33:51,430 --> 00:33:55,160 или какво ли не го прави, или те се отдръпна от този начин временно. 650 00:33:55,160 --> 00:33:58,160 Но за повече информация да се отправят към този URL тук. 651 00:33:58,160 --> 00:34:00,680 >> И сега, за да this-- това комикс може да има смисъл. 652 00:34:00,680 --> 00:34:03,530 653 00:34:03,530 --> 00:34:04,030 Не? 654 00:34:04,030 --> 00:34:04,530 OK. 655 00:34:04,530 --> 00:34:05,390 Добре. 656 00:34:05,390 --> 00:34:06,310 Това е починал. 657 00:34:06,310 --> 00:34:07,240 Добре. 658 00:34:07,240 --> 00:34:11,330 >> Така че нека да разгледаме няколко по- атаки, дори и само за повишаване на осведомеността 659 00:34:11,330 --> 00:34:13,179 и след това се предлагат няколко потенциални решения 660 00:34:13,179 --> 00:34:14,430 така че ти си още по-съпричастни. 661 00:34:14,430 --> 00:34:17,305 Това ние говорихме за другия ден, но не даде името си на него. 662 00:34:17,305 --> 00:34:22,360 Това е крос-сайт фалшифициране искане, което е изключително луксозен начин на казвайки 663 00:34:22,360 --> 00:34:26,489 ви подведе потребител в кликване върху на URL като това, което ги трикове 664 00:34:26,489 --> 00:34:28,280 в някои поведение, което те не е имал намерение. 665 00:34:28,280 --> 00:34:30,710 >> В този случай, това изглежда да се опитва да ме излъже 666 00:34:30,710 --> 00:34:32,920 в продажбата на моите акции на Google. 667 00:34:32,920 --> 00:34:36,810 И това ще успее, ако Аз, програмист на pset7, 668 00:34:36,810 --> 00:34:40,409 не са направили това, което? 669 00:34:40,409 --> 00:34:44,739 Или по-скоро, по-общо, в това, което случаи съм аз уязвими за атака 670 00:34:44,739 --> 00:34:49,460 ако някой трикове друг потребител в кликване върху URL като този? 671 00:34:49,460 --> 00:34:49,960 Така ли? 672 00:34:49,960 --> 00:34:52,500 >> АУДИТОРИЯ: Не се прави разграничение между GET и POST. 673 00:34:52,500 --> 00:34:52,760 >> DAVID J. Malan: Добре. 674 00:34:52,760 --> 00:34:54,850 Ако ние не се прави разлика между GET и POST, 675 00:34:54,850 --> 00:34:57,950 И наистина, ако позволим GET за продажба на неща, 676 00:34:57,950 --> 00:35:00,284 каним този вид атака. 677 00:35:00,284 --> 00:35:01,950 Но ние все още може да го смекчи донякъде. 678 00:35:01,950 --> 00:35:04,283 И аз коментира, мисля, миналата седмица, че Amazon най-малко 679 00:35:04,283 --> 00:35:08,180 се опитва да смекчи това с техника това е доста ясен. 680 00:35:08,180 --> 00:35:11,860 Какво би умно нещо да се направи да бъде на вашия сървър, 681 00:35:11,860 --> 00:35:14,652 а не просто сляпо продажба каквото и символ на видовете потребители в? 682 00:35:14,652 --> 00:35:15,984 АУДИТОРИЯ: Потвърждение на видове? 683 00:35:15,984 --> 00:35:19,320 DAVID J. Malan: екран за потвърждение, нещо с участието на човешкото взаимодействие 684 00:35:19,320 --> 00:35:21,300 така че аз съм принуден да направи преценка повикването, 685 00:35:21,300 --> 00:35:23,930 дори и ако аз съм наивно кликнали линк, който изглежда така 686 00:35:23,930 --> 00:35:27,760 и ме поведе към екрана клетка, най- малко ме помоли да потвърди или отрече. 687 00:35:27,760 --> 00:35:32,460 Но не е необичайно нападение, особено в т.нар фишинг или спам като 688 00:35:32,460 --> 00:35:33,280 атаки. 689 00:35:33,280 --> 00:35:34,890 >> Сега, това е малко по-тънък. 690 00:35:34,890 --> 00:35:37,060 Това е крос-сайт скриптове атака. 691 00:35:37,060 --> 00:35:39,250 И това се случва, ако си сайт не използва 692 00:35:39,250 --> 00:35:41,260 еквивалент на htmlspecialchars. 693 00:35:41,260 --> 00:35:45,160 И това е като потребителски вход и просто сляпо инжектиране в дадена уеб страница, 694 00:35:45,160 --> 00:35:48,170 и с печат или ехо, with-- again-- се обажда нещо 695 00:35:48,170 --> 00:35:49,710 като htmlspecialchars. 696 00:35:49,710 --> 00:35:52,602 >> Така че предполагам, че на интернет страницата на въпрос е vulnerable.com. 697 00:35:52,602 --> 00:35:55,620 И предполагам, че приема параметър се нарича р. 698 00:35:55,620 --> 00:35:59,040 Вижте какво може да се случи ако аз всъщност, лош човек, 699 00:35:59,040 --> 00:36:02,360 въведете или трик на потребителя в посещение на URL, който прилича this-- 700 00:36:02,360 --> 00:36:05,900 Q = отворен таг скрипт, затворени скрипт маркер. 701 00:36:05,900 --> 00:36:08,480 И отново, аз съм се предположи, че vulnerable.com не е 702 00:36:08,480 --> 00:36:11,740 ще се обърне опасно герои като отворени скоби 703 00:36:11,740 --> 00:36:15,570 в HTML лица, на амперсанд, L-T, точка и запетая нещо 704 00:36:15,570 --> 00:36:17,090 че може да не сте виждали преди. 705 00:36:17,090 --> 00:36:18,900 >> Но това, което е на сценария или JavaScript код 706 00:36:18,900 --> 00:36:21,160 Опитвам се да измамят потребителя в изпълнение? 707 00:36:21,160 --> 00:36:25,420 Е, document.location отнася за настоящ адрес в браузъра си. 708 00:36:25,420 --> 00:36:29,400 Така че, ако го направя document.location =, това ми позволява да пренасочва потребителя 709 00:36:29,400 --> 00:36:30,830 в JavaScript към друг уебсайт. 710 00:36:30,830 --> 00:36:34,290 Това е като нашия PHP функция пренасочване, но направи в JavaScript. 711 00:36:34,290 --> 00:36:35,900 >> Когато се опитвам да изпрати на потребителя? 712 00:36:35,900 --> 00:36:40,110 Е, очевидно, badguy.com/log.php, което е с около скрипт, очевидно, 713 00:36:40,110 --> 00:36:43,530 лош човек пише, че се параметър се нарича бисквитка. 714 00:36:43,530 --> 00:36:46,790 >> И известие, което правя изглежда да е слепване 715 00:36:46,790 --> 00:36:49,190 към края на този знак за равенство? 716 00:36:49,190 --> 00:36:52,030 Е, нещо, което казва document.cookie. 717 00:36:52,030 --> 00:36:53,320 Ние не сме говорили за това. 718 00:36:53,320 --> 00:36:55,730 Но се оказва, че в JavaScript, точно като в PHP, 719 00:36:55,730 --> 00:36:59,770 можете да получите достъп до всички бисквитки че вашия браузър е действително използване. 720 00:36:59,770 --> 00:37:02,180 >> Така че ефектът от това линия на код, ако даден потребител 721 00:37:02,180 --> 00:37:06,440 е подмамен да кликнете на този линк и уебсайт vulnerable.com не 722 00:37:06,440 --> 00:37:10,000 тя избяга с htmlspecialchars, е, че имате само ефективно 723 00:37:10,000 --> 00:37:13,660 качен log.php всички бисквитките. 724 00:37:13,660 --> 00:37:17,300 И това не е, че винаги проблематично, освен ако една от тези бисквитки 725 00:37:17,300 --> 00:37:20,040 е вашата сесия ID, вашият т.нар ръка печат, който 726 00:37:20,040 --> 00:37:26,470 означава badguy.com може да направи своя собствена HTTP заявки, изпращане на същата ръка 727 00:37:26,470 --> 00:37:30,210 печат, същата заглавна бисквитка, и влезте в каквото уебсайт 728 00:37:30,210 --> 00:37:33,680 ви са били на посещение, което в този случай е vulnerable.com. 729 00:37:33,680 --> 00:37:35,940 Това е скриптов кръстосано сайт атака, в смисъл, 730 00:37:35,940 --> 00:37:38,130 че вие ​​сте нещо като хитруваш един сайт в казването 731 00:37:38,130 --> 00:37:43,560 друг сайт за някаква информация тя не трябва, всъщност, имат достъп. 732 00:37:43,560 --> 00:37:46,510 >> Добре, готови за един друга тревожна подробност? 733 00:37:46,510 --> 00:37:49,970 Добре, светът е страшно място, законно така. 734 00:37:49,970 --> 00:37:52,480 Ето един прост JavaScript пример, че е 735 00:37:52,480 --> 00:37:54,847 в днешния код наречен геолокация 0 и 1. 736 00:37:54,847 --> 00:37:56,930 И има няколко Запознай онлайн за това. 737 00:37:56,930 --> 00:37:59,920 >> И това е следното, ако I отворите уеб страница в Chrome. 738 00:37:59,920 --> 00:38:04,590 Той първо не прави нищо. 739 00:38:04,590 --> 00:38:07,300 Добре, ще опитаме отново. 740 00:38:07,300 --> 00:38:07,800 О. 741 00:38:07,800 --> 00:38:10,990 742 00:38:10,990 --> 00:38:13,370 Не, това трябва да се направи нещо. 743 00:38:13,370 --> 00:38:16,500 OK, стои. 744 00:38:16,500 --> 00:38:18,200 >> Нека се опитаме още веднъж. 745 00:38:18,200 --> 00:38:21,285 746 00:38:21,285 --> 00:38:21,785 [Недоловим] 747 00:38:21,785 --> 00:38:26,941 748 00:38:26,941 --> 00:38:29,444 Ах, добре, не съм сигурен защо the-- ох, уредът 749 00:38:29,444 --> 00:38:31,360 вероятно губи интернет достъп по някаква причина. 750 00:38:31,360 --> 00:38:32,840 Добре, така се случва с мен. 751 00:38:32,840 --> 00:38:34,650 >> Добре, така известие какво се случва тук. 752 00:38:34,650 --> 00:38:37,300 Този загадъчен изглеждащи URL, който е само един от CS50 сървър, 753 00:38:37,300 --> 00:38:41,130 иска да използва моя компютър място, като физически това означава. 754 00:38:41,130 --> 00:38:45,160 И ако наистина, аз кликнете върху Позволете, нека да видим какво ще стане. 755 00:38:45,160 --> 00:38:49,030 Очевидно, това е сегашната си ширина и дължина координира надолу 756 00:38:49,030 --> 00:38:51,660 до дяволски много добра резолюция. 757 00:38:51,660 --> 00:38:53,310 >> И така, как се озовах в това? 758 00:38:53,310 --> 00:38:57,620 Как работи този сайт, като CS50 сървър, знаете физически къде по света 759 00:38:57,620 --> 00:38:59,600 Аз съм, да не говорим, че с точност. 760 00:38:59,600 --> 00:39:01,990 Е, оказва out-- нека просто Посетете source-- на страницата 761 00:39:01,990 --> 00:39:05,280 че тук е един куп на HTML в на дъното, че първо трябва this-- 762 00:39:05,280 --> 00:39:09,080 тялото при зареждане = "Вижте местонахожденията" - просто функция съм написал. 763 00:39:09,080 --> 00:39:11,840 >> И аз казвам, за товарене страницата, обадете Вижте местонахожденията. 764 00:39:11,840 --> 00:39:13,750 И тогава там е нищо в тялото, защото 765 00:39:13,750 --> 00:39:16,270 в главата на страницата, забележите това, което имам тук. 766 00:39:16,270 --> 00:39:18,090 Тук е моят Вижте местонахожденията функция. 767 00:39:18,090 --> 00:39:23,560 И това е само някаква грешка checking-- ако типът на navigator.geolocation 768 00:39:23,560 --> 00:39:24,490 не е неопределено. 769 00:39:24,490 --> 00:39:26,240 Така че JavaScript е това механизъм, където можете 770 00:39:26,240 --> 00:39:28,270 Може да се каже, какво е вид на тази променлива? 771 00:39:28,270 --> 00:39:30,790 И ако това не е undefined-- това означава, че е някакъв value-- 772 00:39:30,790 --> 00:39:35,940 Отивам да се обадя navigator.geolocation.getCurrentPosition 773 00:39:35,940 --> 00:39:37,230 и след това обратно повикване. 774 00:39:37,230 --> 00:39:37,750 >> Какво е това? 775 00:39:37,750 --> 00:39:39,916 Така че като цяло, което е обратно повикване, само за да бъде ясно? 776 00:39:39,916 --> 00:39:42,890 Може да са се сблъсквали това вече pset8. 777 00:39:42,890 --> 00:39:44,790 Обр е родово Терминът за това какво? 778 00:39:44,790 --> 00:39:48,430 779 00:39:48,430 --> 00:39:49,554 Усеща се като току-що ми днес. 780 00:39:49,554 --> 00:39:50,470 АУДИТОРИЯ: [недоловим]. 781 00:39:50,470 --> 00:39:53,322 782 00:39:53,322 --> 00:39:55,280 DAVID J. Malan: Точно така, функция, която трябва да 783 00:39:55,280 --> 00:39:57,330 да се нарече само когато имаме данни. 784 00:39:57,330 --> 00:40:01,510 Настоящата покана към браузъра, да си ток позиция, може да бъде в една милисекунда, 785 00:40:01,510 --> 00:40:02,720 той може да отнеме минута. 786 00:40:02,720 --> 00:40:06,960 Какво означава това е, че ние се казва метод GET getCurrentPosition, 787 00:40:06,960 --> 00:40:09,910 наричаме тази функция за обратно извикване, което буквално име обаждане 788 00:40:09,910 --> 00:40:13,150 За простота, което очевидно е този тук. 789 00:40:13,150 --> 00:40:16,290 >> И начина, по getCurrentPosition работи, просто чрез четене на документация 790 00:40:16,290 --> 00:40:19,540 за някои JavaScript код в сайта, е че го нарича, че така наречените обаждане 791 00:40:19,540 --> 00:40:23,220 функция, тя преминава в тя JavaScript обект на, 792 00:40:23,220 --> 00:40:28,970 вътре в който е .coords.latitude и .coords.longitude, 793 00:40:28,970 --> 00:40:32,140 което е точно как, тогава, когато се презарежда страницата, 794 00:40:32,140 --> 00:40:33,985 Аз бях в състояние да видите местоположението си тук. 795 00:40:33,985 --> 00:40:35,610 Сега, най-малко е имало защита тук. 796 00:40:35,610 --> 00:40:37,820 Преди да посети тази страница, когато той действително е работил, 797 00:40:37,820 --> 00:40:40,935 какво ли поне подкана за? 798 00:40:40,935 --> 00:40:42,180 >> АУДИТОРИЯ: [недоловим]. 799 00:40:42,180 --> 00:40:44,200 >> DAVID J. Malan: Да или no-- направя искате да разрешите или забраните това? 800 00:40:44,200 --> 00:40:46,630 Но мисля, че прекалено, за навиците вие вероятно са приели, 801 00:40:46,630 --> 00:40:48,330 както на вашите телефони и вашите браузъри. 802 00:40:48,330 --> 00:40:50,390 Много от нас си включени, са вероятно 803 00:40:50,390 --> 00:40:54,960 доста предразположени те ви days-- виж изскачащ, просто въведете, OK, одобрява, 804 00:40:54,960 --> 00:40:55,730 Позволи. 805 00:40:55,730 --> 00:40:59,070 И все по-често, можете да сложите себе си на риск за тези причини. 806 00:40:59,070 --> 00:41:03,280 >> Така че в действителност, имаше тази прекрасна бъг няколко години ago-- или липса на feature-- 807 00:41:03,280 --> 00:41:08,250 че качи преди няколко години, при което, ако сте имали мобилен телефон, 808 00:41:08,250 --> 00:41:12,000 и това е iPhone, и сте напуснали дома си 809 00:41:12,000 --> 00:41:15,600 и следователно е пътувал по целия свят или квартала, през цялото това време, 810 00:41:15,600 --> 00:41:17,819 телефонът ви е да влезете къде се намирате чрез GPS. 811 00:41:17,819 --> 00:41:20,610 И това всъщност е разкрита, и хората вид очакват това сега. 812 00:41:20,610 --> 00:41:21,930 Вашият телефон знае къде се намирате. 813 00:41:21,930 --> 00:41:24,990 Но проблемът е, че когато сте били архивиране 814 00:41:24,990 --> 00:41:29,260 телефонът ви да iTunes-- това беше преди дните на iCloud, което е по-добро 815 00:41:29,260 --> 00:41:33,960 или за worse-- беше се съхраняват данните в качи, напълно некриптиран. 816 00:41:33,960 --> 00:41:37,370 Така че, ако имате семейство или съквартиранти или злонамерен съсед, който е 817 00:41:37,370 --> 00:41:41,430 любопитен буквално всеки GPS координира сте някога в, 818 00:41:41,430 --> 00:41:43,300 той или тя може просто седнете на качи, стартирайте 819 00:41:43,300 --> 00:41:46,540 някои софтуер, който е свободно на разположение, и изготвят карти като тази. 820 00:41:46,540 --> 00:41:48,680 >> В действителност, това е, което аз Произвеждат се от собствения си телефон. 821 00:41:48,680 --> 00:41:49,380 Аз го включен. 822 00:41:49,380 --> 00:41:51,670 И изглежда, че, въз основа на сини точки там, 823 00:41:51,670 --> 00:41:53,900 това е мястото, където по-голямата част координатите на GPS бяха 824 00:41:53,900 --> 00:41:56,680 влезли с качи, че аз е в североизточната част там. 825 00:41:56,680 --> 00:42:00,030 Но явно обиколил малко, дори в рамките на Масачузетс. 826 00:42:00,030 --> 00:42:01,950 >> Така че това е Boston Harbor там на дясно. 827 00:42:01,950 --> 00:42:04,430 Това е вид на Кеймбридж и Бостън, където това е най-тъмния. 828 00:42:04,430 --> 00:42:07,660 И от време на време, щях да тичам поръчки до по-голям география. 829 00:42:07,660 --> 00:42:11,464 >> Но качи, в продължение на години, е имал, тъй като най-добрите Мога да кажа, цялата тази информация за мен. 830 00:42:11,464 --> 00:42:13,380 Може да се каже, че, тази година, аз всъщност бях 831 00:42:13,380 --> 00:42:17,990 пътува много между Бостън и New York, върви напред и назад 832 00:42:17,990 --> 00:42:18,830 и напред и назад. 833 00:42:18,830 --> 00:42:22,660 И наистина, това ми е на Амтрак, обратно и назад, напред и назад, доста малко. 834 00:42:22,660 --> 00:42:25,970 Всичко това е да е влязъл и съхраняват криптирани на моя компютър 835 00:42:25,970 --> 00:42:28,520 за всеки, който може да се наложи достъп до компютъра ми. 836 00:42:28,520 --> 00:42:29,480 >> Това е тревожен. 837 00:42:29,480 --> 00:42:32,180 Аз не знам защо бях в Пенсилвания или защо 838 00:42:32,180 --> 00:42:35,277 телефона ми беше в Пенсилвания, очевидно доста гъсто. 839 00:42:35,277 --> 00:42:37,360 И тогава, най-накрая, аз погледнах ми Gcal и, о, аз 840 00:42:37,360 --> 00:42:39,880 посети CMU, Carnegie Mellon, по това време. 841 00:42:39,880 --> 00:42:42,031 И Пфу, този вид обясни, че премигване. 842 00:42:42,031 --> 00:42:43,780 И тогава, ако го увеличите по-нататъшни, можете да 843 00:42:43,780 --> 00:42:46,850 виж посетих San Francisco един или повече пъти след това, 844 00:42:46,850 --> 00:42:51,140 и аз дори имаше престой в какво Мисля, че е Вегас, там долу. 845 00:42:51,140 --> 00:42:54,120 Така че всички this-- просто престой, на летището. 846 00:42:54,120 --> 00:42:56,420 >> АУДИТОРИЯ: [смях] 847 00:42:56,420 --> 00:43:00,760 >> Така че това е само за да се каже, че тези проблеми, честно казано, са вездесъщи. 848 00:43:00,760 --> 00:43:02,780 И това само чувства все искал има 849 00:43:02,780 --> 00:43:05,810 все повече и повече от това да бъде разкрита, което вероятно е нещо добро. 850 00:43:05,810 --> 00:43:08,390 Смея да твърдя, светът не е все по-зле в писането на софтуер. 851 00:43:08,390 --> 00:43:10,520 Ние сме все по-добре, Надяваме се, че при забелязване 852 00:43:10,520 --> 00:43:13,037 колко лошо определен софтуер е, че ние използваме. 853 00:43:13,037 --> 00:43:14,870 И за щастие, някои компании започват 854 00:43:14,870 --> 00:43:17,080 да бъдат държани отговорни за това. 855 00:43:17,080 --> 00:43:19,080 >> Но какъв вид защити може да имате в предвид? 856 00:43:19,080 --> 00:43:23,610 Така че освен мениджъри парола, като 1Password и LastPass и други, 857 00:43:23,610 --> 00:43:27,340 Освен това само променя паролите си и идва със случайни хора 858 00:43:27,340 --> 00:43:29,700 използване на софтуер като че можете да опитате 859 00:43:29,700 --> 00:43:31,700 възможно най-добре може да криптира всичките си трафик 860 00:43:31,700 --> 00:43:34,680 до най-малко стесни зоната на опасност. 861 00:43:34,680 --> 00:43:38,100 Така например, като Харвард филиали, всичко, което може да отиде vpn.harvard.edu 862 00:43:38,100 --> 00:43:41,010 и влезте с вашия Harvard ID и PIN. 863 00:43:41,010 --> 00:43:49,350 И това ще се създаде сигурна връзка между вас и Харвард. 864 00:43:49,350 --> 00:43:51,150 >> Сега, това не непременно да се предпазите 865 00:43:51,150 --> 00:43:54,360 срещу всякакви заплахи, които са между Харвард и Facebook или Харвард 866 00:43:54,360 --> 00:43:54,861 и Gmail. 867 00:43:54,861 --> 00:43:56,735 Но ако седите на летище или сте 868 00:43:56,735 --> 00:43:59,260 седи в Starbucks или сте седнал на мястото на един приятел, 869 00:43:59,260 --> 00:44:02,730 и наистина не ги или им се доверите конфигурация на дома си рутер, 870 00:44:02,730 --> 00:44:04,970 най-малкото, което може да се установи сигурна връзка 871 00:44:04,970 --> 00:44:10,260 за дадено предприятие като това място, което е може би малко по-добре обезпечени 872 00:44:10,260 --> 00:44:12,437 от нещо като Starbucks и други подобни. 873 00:44:12,437 --> 00:44:14,270 И какво прави това е той установява, отново, 874 00:44:14,270 --> 00:44:16,300 криптиране между вас и крайната точка. 875 00:44:16,300 --> 00:44:17,880 >> Дори и по-красиви неща, като това. 876 00:44:17,880 --> 00:44:20,000 Така че някои от вас може би вече да е запознат с Tor, 877 00:44:20,000 --> 00:44:22,930 който е този вид на обезличаване мрежа, с което много хора, 878 00:44:22,930 --> 00:44:26,640 ако стартирате този софтуер, маршрут впоследствие тяхната интернет 879 00:44:26,640 --> 00:44:27,990 трафик чрез взаимно. 880 00:44:27,990 --> 00:44:31,460 Така че най-краткия момент е вече не между А и Б. 881 00:44:31,460 --> 00:44:35,850 Но това може да свърши на място, така че сте по същество 882 00:44:35,850 --> 00:44:40,742 покриваща нечии песни и напускане по-малко от рекордните за това къде си HTTP 883 00:44:40,742 --> 00:44:43,950 трафик идва от, защото това ще през един куп други хора 884 00:44:43,950 --> 00:44:45,990 лаптопи и настолни компютри, за добро или за лошо. 885 00:44:45,990 --> 00:44:48,180 >> Но дори и това не е нещо сполучлив. 886 00:44:48,180 --> 00:44:51,560 Някои от вас може да си припомни миналата година изплаши бомба, която се нарича вътре. 887 00:44:51,560 --> 00:44:54,662 И това беше проследено в крайна сметка до потребител, който е използвал тази мрежа тук. 888 00:44:54,662 --> 00:44:57,870 И уловът там, доколкото си спомням, е, ако не са, че много други хора 889 00:44:57,870 --> 00:45:02,190 с помощта на софтуер, подобен на този или използването на този порт и протокол, 890 00:45:02,190 --> 00:45:06,250 това не е толкова трудно за мрежа дори разбера кой, с някои вероятност, 891 00:45:06,250 --> 00:45:08,950 всъщност анонимни си движение. 892 00:45:08,950 --> 00:45:12,030 >> И аз не знам дали тези, които са били действителните данни в въпрос. 893 00:45:12,030 --> 00:45:15,400 Но разбира се, осъзнавам, че нито един от те са сполучлив разтвори, както и. 894 00:45:15,400 --> 00:45:18,820 И целта тук днес е да малко ви накара да мисля за тези неща, 895 00:45:18,820 --> 00:45:23,140 и идва с техники за защитава себе си срещу тях. 896 00:45:23,140 --> 00:45:28,858 Всички въпроси, свързани с всички заплахи които ви очакват там и тук? 897 00:45:28,858 --> 00:45:29,358 Така ли? 898 00:45:29,358 --> 00:45:29,858 899 00:45:29,858 --> 00:45:31,793 АУДИТОРИЯ: Колко защитена направя ние очакваме средната 900 00:45:31,793 --> 00:45:35,210 [? уебсайт, за да бъде?] като средната проекта CS50? 901 00:45:35,210 --> 00:45:38,530 >> DAVID J. Malan: The Средната проект CS50? 902 00:45:38,530 --> 00:45:43,190 Той винаги е доказано, че всяка година някои окончателни проекти CS50 не са 903 00:45:43,190 --> 00:45:44,530 особено сигурна. 904 00:45:44,530 --> 00:45:47,940 Обикновено, това е някакъв съквартирант или hallmate че цифрите това място 905 00:45:47,940 --> 00:45:51,200 чрез изпращане на заявки за вашия проект. 906 00:45:51,200 --> 00:45:55,230 >> Кратко answer-- колко сайтове са сигурни? 907 00:45:55,230 --> 00:45:57,450 Аз съм бране на днешните аномалии. 908 00:45:57,450 --> 00:46:00,640 Подобно на това е просто случайност осъзнах, че този сайт 909 00:46:00,640 --> 00:46:03,390 Аз бях поръчване на тези откровено вкусни договорености from-- 910 00:46:03,390 --> 00:46:05,348 и аз не съм сигурен, че ще спрете да използвате сайта им; 911 00:46:05,348 --> 00:46:08,030 Аз може просто да си сменя парола повече regularly-- 912 00:46:08,030 --> 00:46:11,320 Не е ясно как точно уязвими всички тези various-- 913 00:46:11,320 --> 00:46:12,970 това е шоколад покрити всъщност. 914 00:46:12,970 --> 00:46:16,172 915 00:46:16,172 --> 00:46:19,130 Краткият отговор е, че не мога да отговоря на този ефективно, освен да го кажа 916 00:46:19,130 --> 00:46:22,150 Не беше толкова трудно за мен да намерите някои от тези примери само 917 00:46:22,150 --> 00:46:24,040 в името на дискусия в лекция. 918 00:46:24,040 --> 00:46:26,456 И просто да държи под око Google News и други ресурси 919 00:46:26,456 --> 00:46:29,590 ще доведе до още по-на тези видове неща, за да светнат. 920 00:46:29,590 --> 00:46:32,460 >> Добре, нека да се заключи, с тази предистория 921 00:46:32,460 --> 00:46:36,870 че отборът CS50 се е подготвил за вас в очакване на CS50 Hackathon. 922 00:46:36,870 --> 00:46:39,763 И по пътя си в един момент, плодове ще бъдат обслужвани. 923 00:46:39,763 --> 00:46:40,429 [Възпроизвеждане на видео] 924 00:46:40,429 --> 00:46:43,595 [MUSIC Фърги, Q TIP И GOONROCK, "A LITTLE PARTY НИКОГА УБИТИ НИКОЙ (ALL 925 00:46:43,595 --> 00:46:44,373 WE GOT) "] 926 00:46:44,373 --> 00:48:08,880 927 00:48:08,880 --> 00:48:13,467 >> - [Хъркане] 928 00:48:13,467 --> 00:48:14,300 [END възпроизвеждане на видео] 929 00:48:14,300 --> 00:48:15,420 DAVID J. Malan: Това е за CS50. 930 00:48:15,420 --> 00:48:16,544 Ще се видим в сряда. 931 00:48:16,544 --> 00:48:20,670 932 00:48:20,670 --> 00:48:25,840 [MUSIC - Skrillex "Imma" Опитайте "] 933 00:48:25,840 --> 00:51:47,776