1 00:00:00,000 --> 00:00:11,300 2 00:00:11,300 --> 00:00:15,490 >> DAVID J. MALAN: Dies ist CS50, und dies ist der Beginn der 10. Woche. 3 00:00:15,490 --> 00:00:19,460 Sie erinnern sich vielleicht, dass wir gezeigt haben auf dem Bildschirm ein 3D-Drucker, die 4 00:00:19,460 --> 00:00:21,610 ist diesem Gerät, nimmt Spulen aus Kunststoff 5 00:00:21,610 --> 00:00:24,840 und dann extrudiert es durch Erhitzen und Schmelzen, so dass wir dann 6 00:00:24,840 --> 00:00:27,310 Armee von Changs bilden Elefanten, zum Beispiel. 7 00:00:27,310 --> 00:00:29,184 >> So zumin Leverett House, aber vor kurzem I 8 00:00:29,184 --> 00:00:31,850 wurde mit einem im Chat Ihre Klassenkameraden und ein Freund von Changs 9 00:00:31,850 --> 00:00:35,720 namens Michelle, die tatsächlich im interniert dieses andere Unternehmen im vergangenen Jahr, dass 10 00:00:35,720 --> 00:00:40,010 eine andere Technik für die tatsächlich Erstellung von dreidimensionalen Objekten, 11 00:00:40,010 --> 00:00:41,890 wie diese winzigen Elefanten hier. 12 00:00:41,890 --> 00:00:45,550 Insbesondere die Art und Weise dies funktioniert ist, dass es ein Beispiel für etwas 13 00:00:45,550 --> 00:00:49,740 genannt Stereolithographie, wobei es gibt diese Becken aus Harz oder flüssig, 14 00:00:49,740 --> 00:00:53,340 und dann ein Laser fällt auf, dass Flüssigkeit nach und nach, wobei die Vorrichtung 15 00:00:53,340 --> 00:00:56,990 Aufzüge, Lifte und hebt das Ding dass Sie drucken, wie ein Elefant, 16 00:00:56,990 --> 00:00:58,676 wie die Flüssigkeit wird fest. 17 00:00:58,676 --> 00:01:00,550 Und das Ergebnis, eigentlich ist etwas, das ist 18 00:01:00,550 --> 00:01:04,194 wesentlich robuster als einige der Kunststoff Werbegeschenke einige von euch 19 00:01:04,194 --> 00:01:04,819 gehabt haben könnte. 20 00:01:04,819 --> 00:01:06,860 >> Und was Chang kindly für uns getan hat war hier 21 00:01:06,860 --> 00:01:12,210 habe ein Zeitraffer-Verwendung von Fotos im Verlauf von einer Stunde oder mehr, 22 00:01:12,210 --> 00:01:14,580 wahrscheinlich, um diesen Kerl hier zu produzieren. 23 00:01:14,580 --> 00:01:19,060 Würde jemand, der noch nie vor gekommen gerne kommen getroffen starten zu diesem Video? 24 00:01:19,060 --> 00:01:21,250 Lassen Sie mich mit zu gehen, wie wäre es. 25 00:01:21,250 --> 00:01:21,790 Komm auf. 26 00:01:21,790 --> 00:01:24,960 27 00:01:24,960 --> 00:01:25,460 In Ordnung. 28 00:01:25,460 --> 00:01:29,250 29 00:01:29,250 --> 00:01:29,896 Und Sie sind? 30 00:01:29,896 --> 00:01:31,270 Luke: Ich heiße Lukas [unverständlich]. 31 00:01:31,270 --> 00:01:31,700 DAVID J. MALAN: Hallo, Luke. 32 00:01:31,700 --> 00:01:32,695 Freut mich, dich kennenzulernen. 33 00:01:32,695 --> 00:01:33,653 >> LUKE: Nice to meet you. 34 00:01:33,653 --> 00:01:35,120 PUBLIKUM: Er ist für UC läuft. 35 00:01:35,120 --> 00:01:38,640 >> DAVID J. MALAN: Ich weiß, wir versuchen nicht zu fördern. 36 00:01:38,640 --> 00:01:41,240 Alles klar, so Lukas, alle Sie hier in CS50 tun haben 37 00:01:41,240 --> 00:01:45,829 wird die Leertaste schlagen um diese Elefanten zu drucken. 38 00:01:45,829 --> 00:01:46,495 [VIDEO PLAYBACK] 39 00:01:46,495 --> 00:01:49,988 - [MACHINE Surren] 40 00:01:49,988 --> 00:02:00,467 41 00:02:00,467 --> 00:02:01,964 - [CRASH] 42 00:02:01,964 --> 00:02:04,459 - [BOOM] 43 00:02:04,459 --> 00:02:06,147 - [CRASH] 44 00:02:06,147 --> 00:02:06,980 [END VIDEO PLAYBACK] 45 00:02:06,980 --> 00:02:09,370 DAVID J. MALAN: Also das ist genau das, wie es ist, um Druck 3D. 46 00:02:09,370 --> 00:02:10,453 Und hier ist Ihre Elefanten. 47 00:02:10,453 --> 00:02:12,100 Vielen Dank für Freiwilligenarbeit. 48 00:02:12,100 --> 00:02:12,830 In Ordnung. 49 00:02:12,830 --> 00:02:16,580 Also noch einmal, gemäß der Spezifikation für Das endgültige Projekt, diese Hardware, die ist 50 00:02:16,580 --> 00:02:18,890 Ihnen zur Verfügung Jungs ist, aus irgendeinem Grund, 51 00:02:18,890 --> 00:02:21,870 Ihr Projekt hat einige Kreuzung von Software und Hardware, 52 00:02:21,870 --> 00:02:24,650 erkennen, dass diese nun Ressourcen. 53 00:02:24,650 --> 00:02:27,750 >> Ich wollte einen Moment Zeit nehmen, um zu berühren auf einem purpurnen Artikel, die herauskamen 54 00:02:27,750 --> 00:02:30,541 spät in der Nacht, das war bekannt, dass diese Kolleginnen hier, David 55 00:02:30,541 --> 00:02:33,920 Johnson, der seit der Senior ist Lehrer für Ec 10 seit geraumer Zeit, 56 00:02:33,920 --> 00:02:36,210 verlässt Harvard an die Ende des akademischen Jahres. 57 00:02:36,210 --> 00:02:38,390 Und ich wollte nur einen Moment Zeit nehmen, ehrlich gesagt, 58 00:02:38,390 --> 00:02:41,620 David vor CS50 danken. 59 00:02:41,620 --> 00:02:44,360 Er war ein Mentor Arten, uns im Laufe der Jahre. 60 00:02:44,360 --> 00:02:46,980 >> Und ich fühle mich wie wir, CS50, haben eher mit Ec 10 gewachsen 61 00:02:46,980 --> 00:02:48,870 hier, denn sie sind direkt vor uns. 62 00:02:48,870 --> 00:02:52,040 Und er und das ganze Team in Ec 10 gewesen wunderbar gnädig, ehrlich gesagt, 63 00:02:52,040 --> 00:02:55,410 wie wir schleppen in allen unseren Anlagen jede Woche, und vor Jahren, 64 00:02:55,410 --> 00:02:57,320 vorgesehen viel Of Counsel, wie wir waren 65 00:02:57,320 --> 00:02:59,520 neugierig, wie sie funktionieren EC 10. 66 00:02:59,520 --> 00:03:02,640 Also Dank und Bewunderung an David Johnson. 67 00:03:02,640 --> 00:03:06,560 >> [Applaus] 68 00:03:06,560 --> 00:03:08,030 69 00:03:08,030 --> 00:03:12,180 >> Nun unrelatedly, so das Ende ist in der Tat in der Nähe. 70 00:03:12,180 --> 00:03:13,630 Wir sind hier in der 10. Woche. 71 00:03:13,630 --> 00:03:15,920 Und wir haben gerade erst ein paar formale Wochen 72 00:03:15,920 --> 00:03:18,320 hier in der Klasse verließ, gefolgt durch ein Paar von Ereignissen. 73 00:03:18,320 --> 00:03:21,860 Also, um Ihnen ein Gefühl von dem, was geben am Horizont, hier sind wir heute. 74 00:03:21,860 --> 00:03:24,480 >> An diesem Mittwoch, Rückruf, wir einen Gastvortrag haben 75 00:03:24,480 --> 00:03:27,040 von niemand anderem als Microsofts eigene Steve Ballmer. 76 00:03:27,040 --> 00:03:31,740 Wenn Sie auch noch nicht gegangen cs50.harvard.edu/register, 77 00:03:31,740 --> 00:03:33,360 tun dies, da der Platz ist begrenzt. 78 00:03:33,360 --> 00:03:36,447 Und sie werden überprüft IDs an der Tür an diesem Tag. 79 00:03:36,447 --> 00:03:38,280 Wenn Sie nicht hier waren letzte Woche, dachte ich, ich würde 80 00:03:38,280 --> 00:03:41,850 necken Sie mit einem anderen Blick bei Steve und die Aufregung, die 81 00:03:41,850 --> 00:03:44,215 erwartet uns am Mittwoch. 82 00:03:44,215 --> 00:03:45,205 >> [VIDEO PLAYBACK] 83 00:03:45,205 --> 00:03:46,195 >> -Passion. 84 00:03:46,195 --> 00:03:50,650 >> -Wir Gehen zu hardcore-- hardcore sein. 85 00:03:50,650 --> 00:03:51,640 >> -Innovator. 86 00:03:51,640 --> 00:03:53,339 >> -Bill Heißt, Sie nicht bekommen. 87 00:03:53,339 --> 00:03:55,130 Wir werden eine Put Computer auf jedem Schreibtisch 88 00:03:55,130 --> 00:03:58,690 und in jedem Haus, das wurde das Motto für das Unternehmen. 89 00:03:58,690 --> 00:04:01,850 Ich schwöre, Bill erfunden in dieser Nacht zu mir wirklich geben 90 00:04:01,850 --> 00:04:04,370 etwas von der Vision warum sollte ich sagen, ja. 91 00:04:04,370 --> 00:04:07,280 Ich habe es nie bereut, wirklich, danach. 92 00:04:07,280 --> 00:04:10,010 >> -Frisches Aus der Schule, er trat eine junge Startup 93 00:04:10,010 --> 00:04:14,450 und half sie in einer von Amerikas wachsen erfolgreichsten Unternehmen aller Zeiten. 94 00:04:14,450 --> 00:04:16,920 Das Leben und Business Lehren auf dem Weg 95 00:04:16,920 --> 00:04:19,925 ließ ihn zurück zu seinem Kindheit Leidenschaft und Liebe. 96 00:04:19,925 --> 00:04:24,650 Und diese Erfahrungen haben vorbereitet ihm für seine nächste Herausforderung im Leben. 97 00:04:24,650 --> 00:04:27,150 >> -Nichts Bekommt in unserem way-- Boom! 98 00:04:27,150 --> 00:04:29,330 Keep Coming hardcore! 99 00:04:29,330 --> 00:04:31,150 Gehe Clippers! 100 00:04:31,150 --> 00:04:38,627 >> -Dies Ist Steve Ballmer, "In meinen eigenen Worten." 101 00:04:38,627 --> 00:04:39,460 [END VIDEO PLAYBACK] 102 00:04:39,460 --> 00:04:41,240 DAVID J. MALAN: --Dieser Mittwoch bis CS50. 103 00:04:41,240 --> 00:04:43,080 Kopf wieder auf diese URL hier. 104 00:04:43,080 --> 00:04:46,500 Als für das, was sonst noch auf dem Horizont, nächste Woche, kein Vortrag am Montag. 105 00:04:46,500 --> 00:04:50,020 Aber wir werden folgen, dass von Quiz ein am Mittwoch. 106 00:04:50,020 --> 00:04:54,390 Zur Homepage CS50 für Details auf Personen, Orte und Zeiten 107 00:04:54,390 --> 00:04:57,640 für alle der verschiedenen proctoring Logistik und dergleichen, 108 00:04:57,640 --> 00:05:00,190 sowie über Kritik Sitzungen, die bevorstehenden sind. 109 00:05:00,190 --> 00:05:06,479 Und dann, endlich, am Montag, dem Tag vor der Thanksgiving-Woche Pause 110 00:05:06,479 --> 00:05:08,020 erkennen, es wird unsere letzte Vorlesung sein. 111 00:05:08,020 --> 00:05:11,490 Wir werden Kuchen und eine große dienen viel Aufregung, hoffen wir. 112 00:05:11,490 --> 00:05:13,976 >> Jetzt, ein paar andere Updates. 113 00:05:13,976 --> 00:05:16,350 Denken Sie daran, dass der Status Bericht, der wirklich nur ist 114 00:05:16,350 --> 00:05:20,430 bedeutet, um eine beiläufige Interaktion mit TF stolz gerechten Staat 115 00:05:20,430 --> 00:05:23,106 wie weit zusammen mit Ihrem Abschlussprojekt Sie sind, 116 00:05:23,106 --> 00:05:24,980 oder zumindest als Sanity überprüfen Sie, ob Sie sollten 117 00:05:24,980 --> 00:05:27,250 nähern, dass Punkt kurz danach. 118 00:05:27,250 --> 00:05:28,660 Dann wird der Hackathon folgt, dass. 119 00:05:28,660 --> 00:05:30,800 Erkenne den Hackathon ist keine Gelegenheit 120 00:05:30,800 --> 00:05:33,690 zu Ihrem endgültigen Projekt zu starten, aber soll eine Gelegenheit 121 00:05:33,690 --> 00:05:37,040 in der Mitte der oder in Richtung auf sein das Ende Ihrer Abschlussprojekt, 122 00:05:37,040 --> 00:05:41,030 mit der Umsetzung durch ein paar Tage später von der CS50 Messe gefolgt. 123 00:05:41,030 --> 00:05:43,330 >> Nun CS50 Produktion Team, vor ein paar Jahren, 124 00:05:43,330 --> 00:05:46,127 zusammen ein Teaser für den CS50 fair, dass wir 125 00:05:46,127 --> 00:05:48,710 dachten, wir würden Sie heute zeigen, denn sie haben hart daran gearbeitet, 126 00:05:48,710 --> 00:05:51,930 auf einem Prequel für das, ein neues Video dass wir heute mit dem Schluss. 127 00:05:51,930 --> 00:05:57,694 Aber hier ist, was Sie erwartet für die diesjährige CS50 fair. 128 00:05:57,694 --> 00:05:58,360 [VIDEO PLAYBACK] 129 00:05:58,360 --> 00:06:00,680 - [HANDY RINGING] 130 00:06:00,680 --> 00:06:07,624 131 00:06:07,624 --> 00:06:11,117 [MUSIC "Theme from Mission: Impossible"] 132 00:06:11,117 --> 00:08:47,065 133 00:08:47,065 --> 00:08:52,820 [END VIDEO PLAYBACK] 134 00:08:52,820 --> 00:08:56,840 DAVID J. MALAN: Also das ist genau, wie wir schließen endgültige Projekteinreichungen. 135 00:08:56,840 --> 00:08:59,220 Ein paar jetzt teasers-- wenn Sie möchten, dass Nick hier beitreten 136 00:08:59,220 --> 00:09:02,740 zum Mittagessen, wie üblich, diese Freitag, den Kopf auf diese URL hier. 137 00:09:02,740 --> 00:09:05,530 Außerdem, wenn Sie möchten, Nick oder diesen Nick beitreten 138 00:09:05,530 --> 00:09:08,770 oder diese Allison oder jede Mitglieder des CS50-Team, 139 00:09:08,770 --> 00:09:11,110 Sie erkennen, dass, kurz nach Begriff ende, 140 00:09:11,110 --> 00:09:13,780 CS50 bereits rekrutieren für das nächste Jahr das Team, 141 00:09:13,780 --> 00:09:18,130 für CAs, TFs, Designern, Produzenten, Forscher und andere Stellungen 142 00:09:18,130 --> 00:09:21,790 dass hier betreiben CS50 sowohl in vor und hinter den Kulissen. 143 00:09:21,790 --> 00:09:25,482 Also, wenn dies von Interesse sein könnten an Sie, den Kopf auf diese URL hier. 144 00:09:25,482 --> 00:09:28,190 Und Studenten komfortabler, weniger komfortabel, und irgendwo in 145 00:09:28,190 --> 00:09:31,710 zwischen gleichermaßen sind alle herzlich willkommen und zur Bewerbung aufgefordert. 146 00:09:31,710 --> 00:09:34,920 >> So war es ein perfektes Timing, dass kein Witz, an diesem Morgen, als ich aufwachte, 147 00:09:34,920 --> 00:09:37,220 Ich hatte diese hier Spam in meinem Posteingang. 148 00:09:37,220 --> 00:09:39,420 Tatsächlich rutschte durch Google Mail-Spam-Filter 149 00:09:39,420 --> 00:09:41,659 irgendwie und landete in meinem eigentlichen Posteingang. 150 00:09:41,659 --> 00:09:43,700 Und er sagt: "Lieber Postfach Benutzer, Sie sind derzeit 151 00:09:43,700 --> 00:09:45,240 Upgrade auf 4 Gigabyte Speicherplatz. 152 00:09:45,240 --> 00:09:50,750 Bitte in Ihrem Konto anmelden um E-Raum zu validieren. " 153 00:09:50,750 --> 00:09:54,100 >> Und dann gibt es diese schönen blauen verlockenden Link dort klicken Sie auf 154 00:09:54,100 --> 00:09:59,480 für Dozenten und Mitarbeiter, die dann führte mich zu einem wunderbar legitime Seite, die 155 00:09:59,480 --> 00:10:02,300 bat mich, meinen Namen zu geben und E-Mail-Adresse und, natürlich, 156 00:10:02,300 --> 00:10:05,090 Kennwort bestätigen wer ich bin und so weiter. 157 00:10:05,090 --> 00:10:09,330 Aber natürlich, wie es immer der Fall ist, Sie kommen zu dieser Zielseite, 158 00:10:09,330 --> 00:10:11,370 und natürlich gibt es mindestens ein Tippfehler, 159 00:10:11,370 --> 00:10:14,840 die an der Nagel in sein scheint der Sarg von einer dieser Betrügereien. 160 00:10:14,840 --> 00:10:17,890 Und wir veröffentlichen, vielleicht, eine andere Links zu diesen Arten von Screenshots 161 00:10:17,890 --> 00:10:18,473 in der Zukunft. 162 00:10:18,473 --> 00:10:22,535 Aber hoffentlich, die meisten Menschen in dieser Raum nicht clicked-- 163 00:10:22,535 --> 00:10:24,410 oder auch wenn Sie geklickt haben solche Links, da dies, 164 00:10:24,410 --> 00:10:28,040 nicht so weit, gegangen füllen Sie diese Formulare und so weiter. 165 00:10:28,040 --> 00:10:30,210 In der Tat ist es in Ordnung, wenn Sie haben. 166 00:10:30,210 --> 00:10:33,410 Wir werden versuchen, dass heute zu beheben, weil, Tatsächlich ist die heutige Gespräch 167 00:10:33,410 --> 00:10:34,450 um die Sicherheit. 168 00:10:34,450 --> 00:10:36,500 >> Und in der Tat, einer der Ziele der CS50 ist nicht 169 00:10:36,500 --> 00:10:38,980 so viel zu CE lehren oder PHP oder JavaScript oder SQL 170 00:10:38,980 --> 00:10:41,610 oder einer dieser zugrunde liegenden Implementierungsdetails. 171 00:10:41,610 --> 00:10:45,612 Aber es ist, Sie als Menschen befähigen nur intelligentere Entscheidungen zu treffen, wie es 172 00:10:45,612 --> 00:10:48,070 bezieht sich auf Technik bis die Straße, so dass, ob Sie 173 00:10:48,070 --> 00:10:51,370 Ingenieur oder humanistischen oder Wissenschaftler oder andere Rolle, 174 00:10:51,370 --> 00:10:54,970 Sie fundierte Entscheidungen über Ihre eigenen Computing-Nutzung, 175 00:10:54,970 --> 00:10:56,980 oder wenn Sie in einem sind Entscheidungsposition, 176 00:10:56,980 --> 00:10:59,250 in der Politik, insbesondere du machst viel, 177 00:10:59,250 --> 00:11:02,770 viel bessere Entscheidungen als ein Viele Menschen heute haben. 178 00:11:02,770 --> 00:11:04,830 Und wir werden dies tun, indem Sie anhand einiger Beispiele. 179 00:11:04,830 --> 00:11:09,030 >> Zuerst war ich ziemlich überrascht vor kurzem auf die folgende entdecken. 180 00:11:09,030 --> 00:11:11,120 So Passwörter natürlich sind das, was die meisten von uns 181 00:11:11,120 --> 00:11:18,030 nutzen, um unsere data-- Email zu schützen, Chat, und alle Arten von Ressourcen wie die. 182 00:11:18,030 --> 00:11:23,020 Und nur durch eine awkward-- nicht zeigen Hände, aber peinlich Blicke der Scham, 183 00:11:23,020 --> 00:11:26,600 wie viele von euch das gleiche Kennwort verwenden in einer Menge von verschiedenen Websites? 184 00:11:26,600 --> 00:11:28,020 >> Oh, OK, so dass wir die Hände zu tun. 185 00:11:28,020 --> 00:11:30,950 OK, so viel Sie zu tun. 186 00:11:30,950 --> 00:11:33,770 Wer dies tut, nur warum? 187 00:11:33,770 --> 00:11:35,078 Und was? 188 00:11:35,078 --> 00:11:36,537 Ja? 189 00:11:36,537 --> 00:11:39,870 PUBLIKUM: Es ist leicht zu merken, denn Sie müssen nicht zu erinnern, [unverständlich]. 190 00:11:39,870 --> 00:11:41,703 DAVID J. MALAN: Ja, es ist leicht zu merken. 191 00:11:41,703 --> 00:11:44,560 Es ist eine durchaus vernünftige, rationales Verhalten, 192 00:11:44,560 --> 00:11:46,920 auch wenn das Risiko Sie setzen sich selbst 193 00:11:46,920 --> 00:11:50,540 bei in diesen Fällen ist nur eine oder mehrere dieser Websites 194 00:11:50,540 --> 00:11:54,510 ist anfällig für Hacker oder unsicher oder Ihr Passwort ist nur 195 00:11:54,510 --> 00:11:57,130 so verdammt erraten, jeder kann es herausfinden können. 196 00:11:57,130 --> 00:11:59,850 Es ist nicht nur ein Konto beeinträchtigt, aber in der Theorie irgendeine 197 00:11:59,850 --> 00:12:01,280 Konten, die Sie auf dem Internet haben. 198 00:12:01,280 --> 00:12:04,550 Also ich weiß, ich könnte heute sagen, nicht verwenden überall das gleiche Passwort, 199 00:12:04,550 --> 00:12:06,450 aber das ist viel einfacher gesagt als getan. 200 00:12:06,450 --> 00:12:10,850 Aber es gibt Techniken mildernde dass ein besonderes Anliegen. 201 00:12:10,850 --> 00:12:14,030 >> Nun geschieht I, zum Beispiel, um benutze ein Programm namens 1Password. 202 00:12:14,030 --> 00:12:16,010 Ein weiteres beliebtes eine heißt Lastpass. 203 00:12:16,010 --> 00:12:19,030 Und ein Haufen CS50 Mitarbeiter verwenden ein oder mehr dieser Arten von Werkzeugen. 204 00:12:19,030 --> 00:12:20,940 Und lange Geschichte kurz, ein Imbiss für heute 205 00:12:20,940 --> 00:12:25,080 sein sollte, ja, haben Sie vielleicht dasselbe Passwort überall, 206 00:12:25,080 --> 00:12:27,260 aber es ist sehr einfach, nicht mehr tun. 207 00:12:27,260 --> 00:12:31,260 Zum Beispiel, in diesen Tagen, ich weiß vielleicht einer meiner Dutzende oder Hunderte 208 00:12:31,260 --> 00:12:31,910 von Passwörtern. 209 00:12:31,910 --> 00:12:33,990 Alle meine anderen Passwörter sind pseudo-zufällig 210 00:12:33,990 --> 00:12:36,046 von einem dieser Programme hier erzeugt. 211 00:12:36,046 --> 00:12:38,420 Und auf den Punkt gebracht, und sogar obwohl die meisten dieser Programme 212 00:12:38,420 --> 00:12:41,487 neigen dazu, mit ein bisschen einem Preis zu kommen, Sie wäre ein Programm wie dieses zu installieren, 213 00:12:41,487 --> 00:12:43,820 Sie würde dann speichern alle Ihren Benutzernamen und Passwörter 214 00:12:43,820 --> 00:12:46,960 innerhalb dieses Programms auf Ihren eigenen Mac oder PC oder Dingsbums, 215 00:12:46,960 --> 00:12:49,290 und dann wäre es auf Ihrem Computer verschlüsselt 216 00:12:49,290 --> 00:12:51,599 mit dem, was hoffentlich ein besonders lange vergessen. 217 00:12:51,599 --> 00:12:54,140 So habe ich eine ganze Reihe von Passwörter für einzelne Websites, 218 00:12:54,140 --> 00:12:56,390 und dann habe ich ein wirklich lange vergessen, dass ich 219 00:12:56,390 --> 00:12:59,059 verwenden, um alle freizuschalten die anderen Passwörter. 220 00:12:59,059 --> 00:13:00,850 Und was ist schön zu Software wie diese ist 221 00:13:00,850 --> 00:13:04,016 dass, wenn Sie eine Website besuchen, das ist bitten Sie Ihren Benutzernamen und Ihr Passwort ein, 222 00:13:04,016 --> 00:13:06,304 in diesen Tagen, ich weiß nicht geben meinem Benutzernamen und Passwort, 223 00:13:06,304 --> 00:13:08,970 weil wieder, ich weiß nicht einmal, was die meisten meiner Passwörter sind. 224 00:13:08,970 --> 00:13:12,180 Ich schlug statt einer Tastatur Verknüpfung, wobei das Ergebnis davon 225 00:13:12,180 --> 00:13:15,990 ist diese Software zu triggern veranlassen mich für mein Master-Passwort. 226 00:13:15,990 --> 00:13:18,780 Ich tippe dann so zu einem großen Passwort und dann der Browser 227 00:13:18,780 --> 00:13:21,090 füllt automatisch was mein Passwort ist. 228 00:13:21,090 --> 00:13:24,960 Also wirklich, wenn Sie nichts anderes zu nehmen von heute in Bezug auf Passwörter, 229 00:13:24,960 --> 00:13:28,440 das sind Software, die es wert sind Herunterladen oder die Investition in so 230 00:13:28,440 --> 00:13:30,750 dass Sie mindestens Pause dass insbesondere Gewohnheit. 231 00:13:30,750 --> 00:13:33,374 Und wenn Sie die Art sind, das ist mit Post-It Notes oder like-- 232 00:13:33,374 --> 00:13:37,310 und Chancen sind, zumindest einer von euch ist-- diese Gewohnheit auch genügt es zu sagen, 233 00:13:37,310 --> 00:13:38,340 sollte gebrochen werden. 234 00:13:38,340 --> 00:13:42,360 >> Nun, war ich zufällig zu entdecken, als Ergebnis der Benutzung der Software, die folgende. 235 00:13:42,360 --> 00:13:45,690 Ich war die Bestellung eines Essbare Arrangement, Dieser Korb von Obst, vor kurzem. 236 00:13:45,690 --> 00:13:49,380 Und ich traf meine spezielle Tastatur Abkürzung für die Anmeldung bei der Website. 237 00:13:49,380 --> 00:13:53,325 Und die Software ausgelöst a Pop-up, die besagten, sind Sie sicher 238 00:13:53,325 --> 00:13:55,950 du, dass ich automatisch möchten so reichen Sie Benutzernamen und Passwort? 239 00:13:55,950 --> 00:13:57,690 Da die Verbindung ist unsicher. 240 00:13:57,690 --> 00:14:01,450 >> Die Verbindung ist nicht Verwendung von HTTPS für eine sichere, 241 00:14:01,450 --> 00:14:04,900 mit Hilfe dieses Protokolls als bekannt SSL, Secure Sockets Layer. 242 00:14:04,900 --> 00:14:07,640 Und in der Tat, wenn man sich freuen oben links auf dieser Website, 243 00:14:07,640 --> 00:14:12,880 es ist nur www.ediblearrangements.com, kein HTTPS, was nicht so gut ist. 244 00:14:12,880 --> 00:14:15,480 >> Nun, ich war curious-- vielleicht ist nur ein Fehler in der Software. 245 00:14:15,480 --> 00:14:19,240 Sicherlich, einige Website wie dies, dass viele von uns kennen 246 00:14:19,240 --> 00:14:24,046 mindestens Verschlüsselung oder HTTPS-URLs, um Sie eingeloggt sein. 247 00:14:24,046 --> 00:14:25,670 Also habe ich ein wenig neugierig an diesem Morgen. 248 00:14:25,670 --> 00:14:29,046 Und ich habe mal meine CS50 Fähigkeiten, Ich öffnete Chrome Inspector. 249 00:14:29,046 --> 00:14:30,295 Es ist nicht einmal viel von einer Fähigkeit. 250 00:14:30,295 --> 00:14:32,890 Es ist einfach auf die richtige Tastatur Verknüpfung zu diesem eröffnen. 251 00:14:32,890 --> 00:14:34,830 Und hier ist ein großes Fenster von Chrome Inspector. 252 00:14:34,830 --> 00:14:38,960 >> Aber was ist eigentlich eine war wenig tragisch und lächerlich 253 00:14:38,960 --> 00:14:40,830 waren diese beiden Zeilen hier. 254 00:14:40,830 --> 00:14:44,570 Bis an der Spitze, bemerken die URL zu die mein Benutzername und Passwort 255 00:14:44,570 --> 00:14:45,530 wurden eingereicht. 256 00:14:45,530 --> 00:14:46,380 Lassen Sie mich zu vergrößern. 257 00:14:46,380 --> 00:14:47,352 Es war dieses hier. 258 00:14:47,352 --> 00:14:49,060 Und all das ist Art uninteressant, 259 00:14:49,060 --> 00:14:54,962 außer dem, was ganz am Die Linke, die mit http: // beginnt. 260 00:14:54,962 --> 00:14:57,240 Und so ist, dann, OK, vielleicht sie sind nur Senden 261 00:14:57,240 --> 00:14:59,084 meinem Benutzernamen, das ist nicht so eine große Sache. 262 00:14:59,084 --> 00:15:00,500 Vielleicht mein Passwort wird später gesendet. 263 00:15:00,500 --> 00:15:02,300 Das wäre eine Art sein interessante Design-Entscheidung. 264 00:15:02,300 --> 00:15:03,100 >> Aber nein. 265 00:15:03,100 --> 00:15:06,130 Wenn Sie dann auf Antrag aussehen Nutzlast, der Benutzername und das Passwort 266 00:15:06,130 --> 00:15:08,470 Ich sent-- und ich verspottet diese bis zur slide-- 267 00:15:08,470 --> 00:15:10,000 wurden tatsächlich im Klartext gesendet. 268 00:15:10,000 --> 00:15:13,792 So können Sie sich auf diese besondere Webseite gehen und bestellen eine essbare Arrangement wie diese, 269 00:15:13,792 --> 00:15:16,750 und zwar offenbar für all dies Mal, dass ich von ihnen Bestellung worden, 270 00:15:16,750 --> 00:15:19,800 Ihren Benutzernamen und Ihr Passwort ein wird über gehen in der klaren. 271 00:15:19,800 --> 00:15:22,120 Also ehrlich gesagt, ist dies völlig inakzeptabel. 272 00:15:22,120 --> 00:15:26,240 Und es ist so trivial, die Dinge zu vermeiden wie diese als Designer einer Website 273 00:15:26,240 --> 00:15:27,950 und als Programmierer einer Website. 274 00:15:27,950 --> 00:15:31,020 >> Aber das Essen zum Mitnehmen hier für uns als Nutzer der Webseiten 275 00:15:31,020 --> 00:15:35,700 ist nur, dass alle schätzen Es braucht nur für eine dumme Design 276 00:15:35,700 --> 00:15:40,010 Entscheidung, nicht zu rechtfertig Design-Entscheidung, so dass jetzt, wenn Sie wissen, mein Passwort ist 277 00:15:40,010 --> 00:15:41,820 "Crimson" auf diese Website, wahrscheinlich haben Sie 278 00:15:41,820 --> 00:15:44,654 nur in einem ganzen Bündel von bekam anderen Websites, die ich jetzt haben. 279 00:15:44,654 --> 00:15:46,570 Und es gibt nicht viel von eine Verteidigung gegen die 280 00:15:46,570 --> 00:15:48,301 andere als das, was Chang hat an diesem Morgen. 281 00:15:48,301 --> 00:15:51,550 Er ging zu Edible Arrangements, die wird die Straße hinunter in Cambridge, 282 00:15:51,550 --> 00:15:53,430 und körperlich dieses gekauft für uns. 283 00:15:53,430 --> 00:15:57,490 Das war viel sicherer als Nutzung der Website in diesem Fall. 284 00:15:57,490 --> 00:16:02,320 >> Aber das Detail, um ein Auge für ist eigentlich, was im Browser bis oben 285 00:16:02,320 --> 00:16:02,940 da. 286 00:16:02,940 --> 00:16:04,690 Aber auch, dass ein wenig trügerisch sein kann. 287 00:16:04,690 --> 00:16:07,002 Also ein weiterer interessanter Beispiel und Weise zu verteidigen 288 00:16:07,002 --> 00:16:09,960 gegen this-- und tatsächlich, lass uns nicht, dass die Art und Weise zu verteidigen first-- 289 00:16:09,960 --> 00:16:12,540 dagegen ist eine Technik dass Sicherheits Menschen würden 290 00:16:12,540 --> 00:16:14,810 rufen die Zwei-Faktor-Authentifizierung. 291 00:16:14,810 --> 00:16:20,130 >> Weiß jemand, was die Lösung um Probleme wie das heißt? 292 00:16:20,130 --> 00:16:23,110 Was ist die Zwei-Faktor-Authentifizierung? 293 00:16:23,110 --> 00:16:27,320 Oder anders ausgedrückt, wie viele von Ihnen es verwenden? 294 00:16:27,320 --> 00:16:28,650 OK, so ein paar schüchterne Menschen. 295 00:16:28,650 --> 00:16:29,060 Aber ja. 296 00:16:29,060 --> 00:16:29,976 Ich sah deine Hand nach oben. 297 00:16:29,976 --> 00:16:31,510 Was ist die Zwei-Faktor-Authentifizierung? 298 00:16:31,510 --> 00:16:34,010 >> PUBLIKUM: Grundsätzlich zusätzlich zur Eingabe Ihres Passworts 299 00:16:34,010 --> 00:16:37,390 Sie haben auch eine Sekundär [unverständlich] per SMS auf Ihr Handy geschickt 300 00:16:37,390 --> 00:16:39,460 an der [unverständlich]. 301 00:16:39,460 --> 00:16:40,460 DAVID J. MALAN: Genau. 302 00:16:40,460 --> 00:16:44,150 Neben einigen Primärform der Authentifizierung, wie ein Kennwort, 303 00:16:44,150 --> 00:16:47,190 Du suchst einen Sekundär gefragt Faktor, der typischerweise 304 00:16:47,190 --> 00:16:49,740 etwas, das Sie haben physisch auf Sie, wenn es 305 00:16:49,740 --> 00:16:51,610 kann etwas ganz anderes sein. 306 00:16:51,610 --> 00:16:54,630 Und das Ding ist typischerweise ein Cellphone in diesen Tagen auf die Sie bekommen 307 00:16:54,630 --> 00:16:59,200 eine temporäre Textnachricht, die besagt, geschickt "Ihre temporären Zugangscode lautet 12345." 308 00:16:59,200 --> 00:17:01,280 >> Also zusätzlich zu meinem Kennwort "Crimson" Ich auch 309 00:17:01,280 --> 00:17:03,916 müssen in welcher Art Die Website hat mir getextet. 310 00:17:03,916 --> 00:17:06,290 Oder wenn Sie mit einem haben diese Bank oder ein Investmentkonto, 311 00:17:06,290 --> 00:17:08,123 Sie manchmal diese wenig Dongles 312 00:17:08,123 --> 00:17:11,760 tatsächlich einen Pseudozufalls Zahlengenerator in sie aufgebaut, 313 00:17:11,760 --> 00:17:15,849 aber sowohl die Vorrichtung und die Bank wissen, was Ihre erste Samen ist 314 00:17:15,849 --> 00:17:19,710 damit sie wissen, wie auch der wenig Code deine kleine Schlüsselanhänger 315 00:17:19,710 --> 00:17:22,380 marschiert voraus jede Minute oder zwei, Wertewandel, 316 00:17:22,380 --> 00:17:25,260 so funktioniert das Wertänderung auf dem Server der Bank 317 00:17:25,260 --> 00:17:28,620 so dass sie in ähnlicher Weise authentifizieren Sie nicht nur mit Ihrem Passwort, 318 00:17:28,620 --> 00:17:30,024 aber mit dieser temporären Code. 319 00:17:30,024 --> 00:17:31,690 Nun, können Sie tatsächlich tun dies in Google. 320 00:17:31,690 --> 00:17:33,606 Und ehrlich gesagt, ist dies ein gute Angewohnheit, 321 00:17:33,606 --> 00:17:36,180 vor allem, wenn Sie verwenden Gmail ganze Zeit auf einem Browser. 322 00:17:36,180 --> 00:17:39,880 Wenn Sie zu dieser URL hier, was ist zu gehen die Folien online heute, und dann 323 00:17:39,880 --> 00:17:43,579 klicken Sie auf 2-Step Verification, gleichen tatsächlichen was es gibt. 324 00:17:43,579 --> 00:17:45,870 Sie werden aufgefordert zu geben sie Ihre Handy-Nummer. 325 00:17:45,870 --> 00:17:49,660 Und dann, immer wenn Sie sich anmelden Gmail, werden Sie nicht nur aufgefordert, 326 00:17:49,660 --> 00:17:53,480 nach Ihrem Passwort, sondern auch für ein wenig Code, der an Ihr Telefon gesendet wird 327 00:17:53,480 --> 00:17:54,190 vorübergehend. 328 00:17:54,190 --> 00:17:57,894 Und so lange, wie Sie Cookies aktiviert haben, und solange Sie nicht explizit tun 329 00:17:57,894 --> 00:18:00,060 abmelden, werden Sie nur zu, dass einmal in eine Weile zu tun, 330 00:18:00,060 --> 00:18:01,870 wie wenn Sie sich hinsetzen an einem neuen Computer. 331 00:18:01,870 --> 00:18:05,320 >> Und der Kopf auch hier ist, wenn man hinsetzen irgendInternetCafé-Stil 332 00:18:05,320 --> 00:18:07,380 Computer oder einfach nur ein Freundes-Computer, auch 333 00:18:07,380 --> 00:18:09,710 Zahlt Ihr Freund böswillig oder unwissentlich 334 00:18:09,710 --> 00:18:13,580 hat einige Tastatur-Logger auf seinem Computer installiert ist, 335 00:18:13,580 --> 00:18:15,640 so dass alles, was Sie Typ wird protokolliert, 336 00:18:15,640 --> 00:18:19,170 zumindest, dass zweite Faktor, dass temporären Code, ist vergänglich. 337 00:18:19,170 --> 00:18:21,630 Damit er oder sie oder wer auch immer ist beeinträchtigt der Computer 338 00:18:21,630 --> 00:18:24,890 kann nicht in Sie anschließend einloggen, auch wenn alles andere 339 00:18:24,890 --> 00:18:27,890 war anfällig oder sogar unverschlüsselt überhaupt. 340 00:18:27,890 --> 00:18:29,760 Facebook hat auch dies mit dieser URL hier 341 00:18:29,760 --> 00:18:32,070 wo Sie auf Login Zulassungen klicken können. 342 00:18:32,070 --> 00:18:35,500 So auch hier, wenn Sie nicht wollen Freunde, um Menschen zu stoßen, 343 00:18:35,500 --> 00:18:40,140 Sie wollen nicht auf Facebook stossen werden oder Entsendung Status-Updates für Sie, 344 00:18:40,140 --> 00:18:42,479 Zwei-Faktor-Authentifizierung hier ist wahrscheinlich eine gute Sache. 345 00:18:42,479 --> 00:18:44,520 Und dann gibt es diese andere Technik überhaupt, 346 00:18:44,520 --> 00:18:46,853 nur Wirtschaftsprüfung, die auch ist eine gute Sache für uns Menschen, 347 00:18:46,853 --> 00:18:49,950 wenn die Zwei-Faktor erweist ärgerlich, die, Zwar kann es, oder es ist einfach nicht 348 00:18:49,950 --> 00:18:53,930 auf irgendeiner Webseite, minimal verfügbar ein Auge auf, ob und wann 349 00:18:53,930 --> 00:18:57,650 Sie in die Stellen der Anmeldung sind, wenn sie erlauben Ihnen, ist eine gute Technik, auch. 350 00:18:57,650 --> 00:19:01,300 Also hast du Facebook auch diese Login-Benachrichtigungen verfügen, wobei 351 00:19:01,300 --> 00:19:06,240 jederzeit Facebook realisiert, hm, hat David angemeldet von einigen Computer oder Telefon 352 00:19:06,240 --> 00:19:09,710 dass wir noch nie zuvor aus gesehen eine IP-Adresse, die nicht vertraut aussieht, 353 00:19:09,710 --> 00:19:12,320 sie werden Ihnen zumindest eine Nachricht E-Mail zu, was E-Mail Adresse 354 00:19:12,320 --> 00:19:14,750 haben Sie auf Datei, sagen, sieht das verdächtig? 355 00:19:14,750 --> 00:19:17,590 Wenn ja, ändern Sie Ihr Passwort sofort. 356 00:19:17,590 --> 00:19:19,610 Und so gibt es auch nur Prüfungsverhalten 357 00:19:19,610 --> 00:19:21,940 auch nachdem Sie waren gefährdet ist, kann zumindest 358 00:19:21,940 --> 00:19:25,980 verengen das Fenster während die Sie anfällig sind. 359 00:19:25,980 --> 00:19:29,910 >> Alle Rechte, Fragen auf dem Zeug bisher? 360 00:19:29,910 --> 00:19:35,510 Heute ist der Tag, um alle zu erhalten Ihre Paranoia bestätigt oder verweigert. 361 00:19:35,510 --> 00:19:36,820 Das ist größtenteils bestätigt, traurig. 362 00:19:36,820 --> 00:19:37,210 Ja? 363 00:19:37,210 --> 00:19:39,223 >> PUBLIKUM: [unverständlich] Telefon, was ist, wenn Ihr Telefon Pausen, 364 00:19:39,223 --> 00:19:41,010 und dann ist es immer schwer verify-- 365 00:19:41,010 --> 00:19:41,295 >> DAVID J. MALAN: True. 366 00:19:41,295 --> 00:19:43,330 >> PUBLIKUM: Oder wenn Sie in einer anderen sind Land und sie lassen dich nicht 367 00:19:43,330 --> 00:19:44,505 einloggen, weil [unverständlich]. 368 00:19:44,505 --> 00:19:45,630 DAVID J. MALAN: Absolut. 369 00:19:45,630 --> 00:19:48,780 Und so sind die zusätzlichen Kosten, die Ihnen entstehen. 370 00:19:48,780 --> 00:19:51,040 Es gibt immer dieses Thema eines Trade-off, nachdem alle. 371 00:19:51,040 --> 00:19:53,748 Und dann, wenn Sie Ihr Handy verlieren, wenn es bricht, wenn Sie im Ausland sind, 372 00:19:53,748 --> 00:19:56,382 oder Sie haben einfach nicht ein Signal, wie ein 3G oder LTE-Signal, 373 00:19:56,382 --> 00:19:58,340 Sie werden vielleicht nicht wirklich der Lage sein, zu authentifizieren. 374 00:19:58,340 --> 00:20:00,520 >> Also noch einmal, diese beiden sind Kompromisse. 375 00:20:00,520 --> 00:20:03,670 Und manchmal kann es ein erstellen viel Arbeit für Sie als Ergebnis. 376 00:20:03,670 --> 00:20:08,130 Aber es hängt wirklich, dann auf über die zu erwartende Preis zu Ihnen 377 00:20:08,130 --> 00:20:10,980 ist von etwas Befinden insgesamt gefährdet. 378 00:20:10,980 --> 00:20:15,300 >> So SSL, dann ist diese Technik, wir alle in der Regel als selbstverständlich betrachten 379 00:20:15,300 --> 00:20:18,970 noch übernehmen ist es, auch wenn das ist eindeutig nicht der Fall. 380 00:20:18,970 --> 00:20:23,339 Und du noch irre können Menschen, obwohl, auch mit diesem. 381 00:20:23,339 --> 00:20:24,630 Also hier ist ein Beispiel für eine Bank. 382 00:20:24,630 --> 00:20:25,860 >> Dies ist die Bank of America. 383 00:20:25,860 --> 00:20:28,730 Es gibt eine ganze Menge von diesen in Harvard Square und darüber hinaus. 384 00:20:28,730 --> 00:20:32,530 Und feststellen, dass an der Spitze der der Bildschirm, gibt es eine, ja, HTTPS. 385 00:20:32,530 --> 00:20:35,370 Und es ist sogar grün und für uns markiert 386 00:20:35,370 --> 00:20:39,550 um anzuzeigen, dass dies tatsächlich ein rechtmäßig sichere Website, 387 00:20:39,550 --> 00:20:41,420 oder so haben wir ausgebildet worden zu glauben. 388 00:20:41,420 --> 00:20:46,416 >> Nun, abgesehen davon, obwohl, feststellen, dass, wenn wir hineinzoomen 389 00:20:46,416 --> 00:20:48,790 gibt es dieses Ding hier, wo Sie werden aufgefordert, melden Sie sich an. 390 00:20:48,790 --> 00:20:54,920 Was bedeutet das Vorhängeschloss bedeutet rechts dort, neben meinem Benutzernamen auffordern? 391 00:20:54,920 --> 00:20:57,890 Das ist ziemlich häufig auf Websites, zu. 392 00:20:57,890 --> 00:21:01,120 Was bedeutet das Vorhängeschloss das? 393 00:21:01,120 --> 00:21:02,453 Sie scheinen, wie Sie wissen. 394 00:21:02,453 --> 00:21:03,420 >> PUBLIKUM: Es hat nichts zu bedeuten. 395 00:21:03,420 --> 00:21:04,230 >> DAVID J. MALAN: Es hat nichts zu bedeuten. 396 00:21:04,230 --> 00:21:07,790 Es bedeutet, dass die Bank of America weiß, wie HTML mit Image-Tags, richtig zu schreiben? 397 00:21:07,790 --> 00:21:12,080 Es bedeutet wirklich nichts, denn auch wir mit dem ersten Tag der Look 398 00:21:12,080 --> 00:21:15,760 bei HTML können Code auf eine Seite mit einem roten Hintergrund und ein Bild, 399 00:21:15,760 --> 00:21:18,910 wie ein GIF oder Dingsbums, dass geschieht, um wie ein Vorhängeschloss aussehen. 400 00:21:18,910 --> 00:21:20,890 Und doch ist dieses super in Webseiten verbreitet, 401 00:21:20,890 --> 00:21:24,000 weil wir ausgebildet worden, anzunehmen, dass, oh, Vorhängeschloss bedeutet sichere, 402 00:21:24,000 --> 00:21:25,760 wenn es wirklich nur bedeutet, dass Sie wissen, HTML. 403 00:21:25,760 --> 00:21:28,840 >> Zum Beispiel, wieder in den Tag, konnte ich habe gerade diese auf meiner Website, 404 00:21:28,840 --> 00:21:31,660 behauptete, es ist sicher, und fragen, effektiv, 405 00:21:31,660 --> 00:21:33,590 für Benutzernamen und Passwörter der Menschen. 406 00:21:33,590 --> 00:21:36,310 So suchen in der URL zumindest eine bessere Ahnung, 407 00:21:36,310 --> 00:21:39,580 denn das ist in Chrome eingebaut oder was auch immer-Browser Sie verwenden. 408 00:21:39,580 --> 00:21:41,470 Aber selbst dann, manchmal Dinge schief gehen kann. 409 00:21:41,470 --> 00:21:45,940 Und in der Tat könnte man nicht immer siehe HTTPS, in grün geschweige denn. 410 00:21:45,940 --> 00:21:48,126 >> Hat jemand von euch schon einmal ein Bildschirm wie das gesehen? 411 00:21:48,126 --> 00:21:50,000 Vielleicht haben Sie, eigentlich, früher im Oktober 412 00:21:50,000 --> 00:21:54,740 wenn ich vergessen zu bezahlen unsere SSL-Zertifikat, wie es heißt, 413 00:21:54,740 --> 00:21:58,400 und wir wurden wie die Suche das für ein oder zwei Stunden. 414 00:21:58,400 --> 00:22:01,830 So haben Sie wahrscheinlich Dinge gesehen wie diese, mit einem Durchschlag, 415 00:22:01,830 --> 00:22:05,240 wie ein roter Faden durch das Protokoll in der URL 416 00:22:05,240 --> 00:22:08,010 oder eine Art Bildschirm, der ist mindestens ermahnen Sie 417 00:22:08,010 --> 00:22:09,760 für den Versuch, weiter zu gehen. 418 00:22:09,760 --> 00:22:12,540 Und Google hier lädt Sie wieder in Sicherheit zu gehen. 419 00:22:12,540 --> 00:22:17,120 >> Nun wird in diesem Fall gemeint, dass dies nur das SSL-Zertifikat, das wir benutzten, 420 00:22:17,120 --> 00:22:22,220 die großen, mathematisch nützliche Nummern Das mit CS50 der Server zugeordnet sind, 421 00:22:22,220 --> 00:22:23,949 waren nicht mehr gültig. 422 00:22:23,949 --> 00:22:26,490 Und in der Tat, wir simulieren können Dies ist, wie können Sie auf Ihren Laptop. 423 00:22:26,490 --> 00:22:30,270 Wenn ich in Chrome gehen Sie hier, und lassen Sie uns auf facebook.com zu gehen, 424 00:22:30,270 --> 00:22:32,230 und es sieht aus wie das ist sicher. 425 00:22:32,230 --> 00:22:36,910 Aber lassen Sie mich gehen Sie vor und jetzt klicken Sie auf das Vorhängeschloss hier. 426 00:22:36,910 --> 00:22:40,030 >> Und lassen Sie mich zum Anschluss gehen, Zertifikatinformationen. 427 00:22:40,030 --> 00:22:42,020 Und in der Tat, was Sie hier sehen, ist ein Haufen 428 00:22:42,020 --> 00:22:46,160 Details niedrigerer Ebene zu wer facebook.com wirklich ist. 429 00:22:46,160 --> 00:22:49,380 Es scheint, dass sie Geld bezahlt haben ein Unternehmen vielleicht genannt DigiCert Hoch 430 00:22:49,380 --> 00:22:54,420 Assurance, die versprochen hat um den Rest der Welt zu sagen, 431 00:22:54,420 --> 00:22:57,250 dass, wenn ein Browser überhaupt sieht, a certificate-- Sie denken können 432 00:22:57,250 --> 00:23:00,291 es wörtlich als ein Zertifikat, sieht aus wie dieser kitschig Ding oben 433 00:23:00,291 --> 00:23:04,360 left-- dann facebook.com ist, die sie sagen sie sind, weil die ganze Zeit, wenn 434 00:23:04,360 --> 00:23:07,160 Sie eine Website besuchen, wie cs50.harvard.edu oder facebook.com 435 00:23:07,160 --> 00:23:11,880 oder gmail.com, die HTTPS verwenden URLs, hinter den Kulissen, 436 00:23:11,880 --> 00:23:15,190 gibt es diese Art von Transaktion geschieht automatisch 437 00:23:15,190 --> 00:23:18,060 für Sie, wobei facebook.com, in diesem Fall 438 00:23:18,060 --> 00:23:22,150 wird an Ihren Browser schickt seine sogenannte SSL-Zertifikat, oder besser gesagt, 439 00:23:22,150 --> 00:23:23,380 seinen öffentlichen Schlüssel, 440 00:23:23,380 --> 00:23:25,600 und dann Ihrem Browser wird mit diesem öffentlichen Schlüssel 441 00:23:25,600 --> 00:23:29,600 anschließend senden verschlüsselte Datenverkehr zu und von ihm. 442 00:23:29,600 --> 00:23:32,360 >> Aber es gibt diese ganze Hierarchie in der Welt der Unternehmen 443 00:23:32,360 --> 00:23:36,430 dass Sie Geld zu zahlen, die wird dann bezeugen, in einem digitalen Sinne 444 00:23:36,430 --> 00:23:41,330 Sie sind in der Tat facebook.com oder Ihr Server ist in der Tat cs50.harvard.edu. 445 00:23:41,330 --> 00:23:44,580 Und in Browsern gebaut, wie Chrome und IE und Firefox, 446 00:23:44,580 --> 00:23:48,260 ist eine Liste aller Personen, sogenannte Zertifizierungsstellen 447 00:23:48,260 --> 00:23:51,360 , der von erlaubten werden Microsoft und Google und Mozilla 448 00:23:51,360 --> 00:23:55,410 zu bestätigen oder zu leugnen, dass facebook.com ist, der es sagt, es ist. 449 00:23:55,410 --> 00:23:57,430 Aber der Haken ist, dass diese Dinge ablaufen. 450 00:23:57,430 --> 00:24:02,670 In der Tat sieht Facebook ist wie es läuft im nächsten Oktober 2015. 451 00:24:02,670 --> 00:24:06,490 >> So können wir tatsächlich simulieren dies, wenn ich gehen in meinem Mac zu meinem Systemeinstellungen, 452 00:24:06,490 --> 00:24:11,070 und ich gehe in Datum und Uhrzeit, und Ich in Datum und Uhrzeit gehen Sie hier, 453 00:24:11,070 --> 00:24:17,190 und ich entsperren dieses hier-- Glück wir nicht offenbaren ein Passwort dies Zeit-- 454 00:24:17,190 --> 00:24:20,660 und jetzt habe ich nach unten gehen, um diese zu deaktivieren. 455 00:24:20,660 --> 00:24:25,660 Und lassen Sie uns actually-- oops, das ist nicht so interessant wie dies zu tun. 456 00:24:25,660 --> 00:24:30,140 Wir sind buchstäblich in der Zukunft jetzt was bedeutet, das ist, was 2020 ist wie. 457 00:24:30,140 --> 00:24:36,360 Wenn ich jetzt laden die page-- lass es uns tun im Ingognito mode-- 458 00:24:36,360 --> 00:24:40,910 wenn ich die Seite neu laden, dort gehen wir. 459 00:24:40,910 --> 00:24:45,820 >> So, jetzt denkt, dass mein Computer es ist 2020, aber mein Browser 460 00:24:45,820 --> 00:24:49,810 weiß, dass diese Bescheinigung Facebook läuft, natürlich, im Jahr 2015. 461 00:24:49,810 --> 00:24:51,360 So ist es mir diese rote Meldung. 462 00:24:51,360 --> 00:24:53,550 Nun, zum Glück, Browser wie Chrome tatsächlich 463 00:24:53,550 --> 00:24:55,480 machte es ziemlich schwer, gehen dennoch. 464 00:24:55,480 --> 00:24:57,300 Sie wollen mich ja zurück zu Sicherheit gehen. 465 00:24:57,300 --> 00:25:00,550 >> Wenn ich hier klicken Advance, ist es mir sagen einige weitere Details. 466 00:25:00,550 --> 00:25:02,580 Und wenn ich wirklich will um fortzufahren, werden sie lassen 467 00:25:02,580 --> 00:25:06,250 mir, facebook.com, welches ist zu gehen, wieder, unsicher, an welcher Stelle 468 00:25:06,250 --> 00:25:08,310 Ich werde die Homepage von Facebook zu sehen, wie diese. 469 00:25:08,310 --> 00:25:10,080 Aber dann andere Dinge scheinen Bruch zu sein. 470 00:25:10,080 --> 00:25:12,825 Was ist wohl an dieser Stelle brechen? 471 00:25:12,825 --> 00:25:13,700 PUBLIKUM: JavaScript. 472 00:25:13,700 --> 00:25:15,540 DAVID J. MALAN: Wie die JavaScripts und / oder CSS 473 00:25:15,540 --> 00:25:17,460 Dateien sind ähnlich Begegnung mit diesen Fehler. 474 00:25:17,460 --> 00:25:19,830 Also das ist nur eine schlechte Situation insgesamt. 475 00:25:19,830 --> 00:25:24,790 Aber der Punkt ist hier, dass zumindest Facebook hat in der Tat SSL aktiviert 476 00:25:24,790 --> 00:25:30,040 für ihre Server, wie viele Websites, , aber nicht notwendigerweise alle. 477 00:25:30,040 --> 00:25:33,360 >> Aber das ist nicht allein das Essen zum Mitnehmen hier. 478 00:25:33,360 --> 00:25:36,040 Es stellte sich heraus, dass auch SSL wurde gezeigt, 479 00:25:36,040 --> 00:25:37,810 unsicher in irgendeiner Weise zu sein. 480 00:25:37,810 --> 00:25:40,400 Also ich bin Art deutete an, dass SSL, gut. 481 00:25:40,400 --> 00:25:44,250 Geben Sie für HTTPS-URLs, und das Leben ist gut, weil alle Ihre HTTP-Datenverkehr 482 00:25:44,250 --> 00:25:46,180 und Header und Inhalt ist verschlüsselt. 483 00:25:46,180 --> 00:25:49,560 >> Niemand kann sie in das abfangen Mitte, mit Ausnahme eines sogenannten Mann 484 00:25:49,560 --> 00:25:50,454 mitten drin. 485 00:25:50,454 --> 00:25:52,870 Dies ist eine allgemeine Technik in der Welt der Sicherheit bekannt 486 00:25:52,870 --> 00:25:54,420 als Man-in-the-Middle-Angriff. 487 00:25:54,420 --> 00:25:57,067 Angenommen, Sie haben diese kleine bist Laptop über hier auf der linken Seite, 488 00:25:57,067 --> 00:25:59,900 und nehme an, Sie versuchen, zu besuchen sind ein Server dort rechts 489 00:25:59,900 --> 00:26:00,990 wie facebook.com. 490 00:26:00,990 --> 00:26:03,940 >> Aber nehmen wir an, dass in zwischen Ihnen und Facebook, 491 00:26:03,940 --> 00:26:07,750 ist eine ganze Reihe von anderen Servern und Ausrüstung, wie Switches und Router, 492 00:26:07,750 --> 00:26:11,530 DNS-Server, DHCP-Server, keiner von denen wir steuern. 493 00:26:11,530 --> 00:26:15,280 Es könnte von Starbucks gesteuert werden oder Harvard oder Comcast oder dergleichen. 494 00:26:15,280 --> 00:26:18,090 Nun, angenommen, dass jemand böswillig, in Ihrem Netzwerk, 495 00:26:18,090 --> 00:26:20,800 in zwischen Ihnen und Facebook, ist in der Lage, Ihnen zu sagen 496 00:26:20,800 --> 00:26:24,740 dass, weißt du was, die IP-Adresse Facebook ist nicht das, was Sie denken, es ist. 497 00:26:24,740 --> 00:26:26,250 Es ist diese IP statt. 498 00:26:26,250 --> 00:26:28,740 >> Und so Ihrem Browser ist in anfordernden ausgetrickst 499 00:26:28,740 --> 00:26:30,750 Verkehr von einem anderen Computer überhaupt. 500 00:26:30,750 --> 00:26:35,350 Nun wird angenommen, dass Computer sieht einfach überhaupt 501 00:26:35,350 --> 00:26:38,859 der Verkehr Sie von der Beantragung sind Facebook und alle Web-Seiten 502 00:26:38,859 --> 00:26:40,400 dass Sie von Facebook anfordert bist. 503 00:26:40,400 --> 00:26:45,700 Und jedes Mal, es in Ihrem Verkehr sieht eine URL, die mit https beginnt, 504 00:26:45,700 --> 00:26:49,250 sie dynamisch auf die Fliegen, schreibt es als HTTP. 505 00:26:49,250 --> 00:26:53,490 Und jedes Mal, es einen Ort sieht Header, Standort Dickdarm, 506 00:26:53,490 --> 00:26:55,930 wie wir verwenden, um umzuleiten der Benutzer auch diejenigen, 507 00:26:55,930 --> 00:27:00,690 kann von diesem Mann in geändert werden das mittlere von HTTPS auf HTTP. 508 00:27:00,690 --> 00:27:04,170 >> Also auch wenn Sie sich vielleicht denken, dass Sie bei der realen Facebook sind, 509 00:27:04,170 --> 00:27:07,860 es ist nicht so schwer für ein Gegner mit physischem Zugang 510 00:27:07,860 --> 00:27:10,630 zu Ihrem Netzwerk einfach Rückseiten für Sie, dass 511 00:27:10,630 --> 00:27:12,650 aussehen wie Gmail, dass aussehen wie Facebook, 512 00:27:12,650 --> 00:27:14,880 und in der Tat die URL identisch, weil sie 513 00:27:14,880 --> 00:27:19,410 vorgibt, dass gleichen Hostnamen haben wegen einer Ausbeutung von DNS 514 00:27:19,410 --> 00:27:21,340 oder eine andere System so. 515 00:27:21,340 --> 00:27:23,894 Und das Ergebnis ist dann dass wir Menschen vielleicht nur 516 00:27:23,894 --> 00:27:26,810 erkennen, dass, OK, das sieht aus wie Gmail oder zumindest die ältere Version, 517 00:27:26,810 --> 00:27:29,480 wie ist diese Folie aus eine ältere Präsentation. 518 00:27:29,480 --> 00:27:34,250 Aber es sieht aus wie this-- http://www.google.com. 519 00:27:34,250 --> 00:27:37,370 >> Also auch hier die Realität ist, dass, wie viele von Ihnen, 520 00:27:37,370 --> 00:27:41,290 wenn Sie auf Facebook oder Google Mail oder jeder gehen Website und Sie ein wenig etwas wissen 521 00:27:41,290 --> 00:27:47,060 über SSL, wie viele von euch körperlich https: // und dann die Website 522 00:27:47,060 --> 00:27:48,990 Name geben. 523 00:27:48,990 --> 00:27:52,940 Die meisten von uns geben Sie einfach, wie, CS50, Enter drücken, oder F-A für Facebook 524 00:27:52,940 --> 00:27:54,770 und drücken Sie die Eingabetaste, und lassen Sie es die automatische Vervollständigung. 525 00:27:54,770 --> 00:27:57,620 Doch hinter den Kulissen, wenn Sie beobachten Ihren HTTP-Datenverkehr, 526 00:27:57,620 --> 00:28:00,090 gibt es wahrscheinlich eine ganze Reihe jener Ort Header 527 00:28:00,090 --> 00:28:03,580 dass Sie von senden Facebook www.facebook.com 528 00:28:03,580 --> 00:28:07,250 um https://www.facebook.com. 529 00:28:07,250 --> 00:28:12,300 >> Also das ist, einen oder mehrere HTTP-Transaktionen wo Sie Ihre Informationen vollständig 530 00:28:12,300 --> 00:28:15,102 im Klartext gesendet, kein Verschlüsselung auch immer. 531 00:28:15,102 --> 00:28:17,810 Nun, das nicht so eine große sein könnte beschäftigen, wenn alles, was Sie zu tun versuchen 532 00:28:17,810 --> 00:28:20,980 wird Zugriff auf die Homepage, du bist nicht Senden Sie Ihren Benutzernamen und Ihr Passwort ein. 533 00:28:20,980 --> 00:28:23,130 Aber was ist es unter die Haube, vor allem 534 00:28:23,130 --> 00:28:28,130 für PHP-basierte Websites, die auch ist hin und her, wenn geschickt 535 00:28:28,130 --> 00:28:33,820 Sie einige Webseite, wenn besuchen dass Website benutzt, sagen wir, PHP 536 00:28:33,820 --> 00:28:37,370 und implementiert Funktionen wie pset7? 537 00:28:37,370 --> 00:28:40,840 Was wurde hin und her geschickt in Ihrer HTTP-Header, die du gabst 538 00:28:40,840 --> 00:28:44,903 Zugang zu diesem hübschen nützlich in PHP Super global? 539 00:28:44,903 --> 00:28:45,710 >> PUBLIKUM: Plätzchen. 540 00:28:45,710 --> 00:28:49,020 >> DAVID J. MALAN: Plätzchen, speziell der PHP Sess-ID-Cookie. 541 00:28:49,020 --> 00:28:53,100 So erinnern, wenn wir gehen, um, sagen wir, cs50.harvard.edu wieder 542 00:28:53,100 --> 00:28:56,440 aber dieses Mal wollen wir eröffnen das Registerkarte Netzwerk, und jetzt, hier oben, 543 00:28:56,440 --> 00:29:01,570 wir buchstäblich nur gehen um http://cs50.harvard.edu 544 00:29:01,570 --> 00:29:03,030 und dann drücken Sie Enter. 545 00:29:03,030 --> 00:29:05,520 Und dann auf den Bildschirm schauen hier unten. 546 00:29:05,520 --> 00:29:09,600 Beachten Sie, dass wir in der Tat bekam zurück eine 301 bewegt dauerhaft 547 00:29:09,600 --> 00:29:12,820 Nachricht, was bedeutet, gibt es eine Location-Header hier 548 00:29:12,820 --> 00:29:15,610 Welches ist nun die Umleitung mich zu HTTPS. 549 00:29:15,610 --> 00:29:21,330 >> Aber der Haken ist, dass, wenn ich schon ein Cookie auf meiner Hand gestempelt praktisch, 550 00:29:21,330 --> 00:29:25,890 Wie wir bereits besprochen und Ich die menschliche Art unwissentlich 551 00:29:25,890 --> 00:29:29,090 besuchen Sie einfach die unsicher Version, und mein Browser dauert es 552 00:29:29,090 --> 00:29:34,020 auf sich selbst, um diese Hand Stempel für zeigen die erste Anforderung, die über HTTP ist, 553 00:29:34,020 --> 00:29:36,610 jeder Mann in der Mitte, einem Gegner in der Mitte, 554 00:29:36,610 --> 00:29:39,380 kann theoretisch nur sehen diese HTTP-Header, nur 555 00:29:39,380 --> 00:29:40,980 wie wir auf sie schauen hier. 556 00:29:40,980 --> 00:29:43,310 Es ist nur einmal bist du Gespräch mit einem HTTPS 557 00:29:43,310 --> 00:29:47,780 URL bedeutet das Handstempel selbst zu bekommen verschlüsselt, a la Caesar oder Vigenere, 558 00:29:47,780 --> 00:29:50,500 aber mit einem Züchter Algorithmus überhaupt. 559 00:29:50,500 --> 00:29:53,611 So auch hier, auch wenn Websites verwenden HTTPS, 560 00:29:53,611 --> 00:29:56,860 wir Menschen wurden konditioniert, danke für die automatische Vervollständigung und andere Techniken, 561 00:29:56,860 --> 00:29:59,827 um nicht einmal darüber nachdenken, die möglichen Auswirkungen. 562 00:29:59,827 --> 00:30:01,160 Nun, es gibt Möglichkeiten, dies zu umgehen. 563 00:30:01,160 --> 00:30:03,140 Zum Beispiel sind viele Websites können so konfiguriert werden 564 00:30:03,140 --> 00:30:05,848 so dass, sobald Sie diese Hand haben Stempel können Sie dem Browser mitteilen, 565 00:30:05,848 --> 00:30:07,750 Dieser Handstempel ist nur für SSL-Verbindungen. 566 00:30:07,750 --> 00:30:11,702 Der Browser sollte nicht präsentieren es mir, es sei denn, es ist über SSL. 567 00:30:11,702 --> 00:30:13,410 Aber viele Websites nicht mit, dass die Mühe. 568 00:30:13,410 --> 00:30:17,260 Und viele Websites offenbar nicht einmal mit SSL gestört. 569 00:30:17,260 --> 00:30:20,540 >> Also für mehr dazu, es gibt tatsächlich noch mehr Schmutz in dieser Präsentation 570 00:30:20,540 --> 00:30:24,010 dass ein Mitarbeiter an einer sogenannten schwarzen gab Hat-Konferenz ein paar Jahren, 571 00:30:24,010 --> 00:30:26,468 wo es auch andere bösartigen Tricks Menschen benutzt haben. 572 00:30:26,468 --> 00:30:28,630 Man könnte diesem Rückruf Begriff ein Favicon 573 00:30:28,630 --> 00:30:32,270 ist wie ein kleines Logo, das ist oft im Fenster des Browsers. 574 00:30:32,270 --> 00:30:34,610 Nun, was ist schon verbreitet unter bösen Jungs ist 575 00:30:34,610 --> 00:30:36,340 um fab Symbole, wie das, was aussehen lassen? 576 00:30:36,340 --> 00:30:39,054 577 00:30:39,054 --> 00:30:39,970 PUBLIKUM: [unverständlich]. 578 00:30:39,970 --> 00:30:40,280 DAVID J. MALAN: Sagen Sie wieder? 579 00:30:40,280 --> 00:30:41,490 PUBLIKUM: Die Webseiten. 580 00:30:41,490 --> 00:30:42,130 DAVID J. MALAN: keine Website. 581 00:30:42,130 --> 00:30:43,394 So Favicon winzig kleine Symbol. 582 00:30:43,394 --> 00:30:45,560 Was wäre das Beste sein bösartige, manipulative Sache 583 00:30:45,560 --> 00:30:47,832 Sie machen Ihre Website könnte Standardsymbol aussehen? 584 00:30:47,832 --> 00:30:48,790 PUBLIKUM: Ein grünes Schloss. 585 00:30:48,790 --> 00:30:49,080 DAVID J. MALAN: Was ist das? 586 00:30:49,080 --> 00:30:50,160 PUBLIKUM: Ein kleiner grüner Schloss. 587 00:30:50,160 --> 00:30:51,960 DAVID J. MALAN: Wie ein grünes Schloss, genau. 588 00:30:51,960 --> 00:30:55,242 So können Sie diese Ästhetik haben können eines kleinen grünen Vorhängeschloss, 589 00:30:55,242 --> 00:30:57,950 anspielend auf die Welt, oh, wir sind zu sichern, wenn wieder alle es bedeutet 590 00:30:57,950 --> 00:31:00,210 ist, dass Sie einige HTML-Kenntnisse. 591 00:31:00,210 --> 00:31:02,895 So Session Hijacking bezieht sich auf genau das. 592 00:31:02,895 --> 00:31:05,936 Wenn Sie jemanden haben, der Art ist Sniffing den Äther in diesem Raum hier 593 00:31:05,936 --> 00:31:09,150 oder physischen Zugriff auf ein Netzwerk und kann Ihre Cookies sehen 594 00:31:09,150 --> 00:31:12,152 kann er oder sie, dass greifen PHP Sess-ID-Cookie. 595 00:31:12,152 --> 00:31:13,860 Und dann, wenn sie klug genug zu wissen, 596 00:31:13,860 --> 00:31:18,200 wie man das Cookie als ihre eigenen zu senden Handstempel nur durch Kopieren diesen Wert 597 00:31:18,200 --> 00:31:20,860 und Senden der HTTP-Header, jemand könnte sehr leicht 598 00:31:20,860 --> 00:31:23,510 loggen Sie sich in einem der Facebook Konten oder Google Mail-Konten 599 00:31:23,510 --> 00:31:27,355 oder Twitter-Accounts, die hier sind, offen in den Raum, wenn Sie nicht mit SSL 600 00:31:27,355 --> 00:31:31,500 und wenn die Website ist nicht richtig mit SSL. 601 00:31:31,500 --> 00:31:33,690 >> Lassen Sie uns also Übergang zu einer anderen. 602 00:31:33,690 --> 00:31:34,700 Also eine weitere wahre Geschichte. 603 00:31:34,700 --> 00:31:38,680 Und dies gerade in der brach Nachrichten ein oder zwei Wochen vor. 604 00:31:38,680 --> 00:31:41,520 Verizon getan hat eine sehr böse Sache, 605 00:31:41,520 --> 00:31:45,110 und wie am besten Leute können sagen, Seit mindestens 2012, wobei, 606 00:31:45,110 --> 00:31:51,550 Beim Zugriff auf Websites über einen Verizon Handy, was Hersteller ist es, 607 00:31:51,550 --> 00:31:54,150 sie anmaßend gewesen, Wie geht die Geschichte, 608 00:31:54,150 --> 00:31:59,890 Injektion in alle Ihre HTTP Verkehrs eigenen HTTP-Header. 609 00:31:59,890 --> 00:32:04,040 Und das Header sieht wie this-- X-UIDH. 610 00:32:04,040 --> 00:32:06,465 UID ist wie ein einzigartiges Bezeichner oder Benutzer-ID. 611 00:32:06,465 --> 00:32:09,660 Und X bedeutet nur, das ist eine individuelle header das ist nicht Standard. 612 00:32:09,660 --> 00:32:11,720 >> Aber was das bedeutet ist, dass, wenn ich nach oben ziehen, 613 00:32:11,720 --> 00:32:14,640 zum Beispiel, jede Website auf meinem Handy hier-- 614 00:32:14,640 --> 00:32:18,310 und ich bin mit Verizon als meine carrier-- obwohl mein Browser möglicherweise nicht 615 00:32:18,310 --> 00:32:21,110 entsenden diese HTTP header, Verizon, sobald 616 00:32:21,110 --> 00:32:23,650 als das Signal ihrer erreicht Handy-Turm irgendwo, 617 00:32:23,650 --> 00:32:28,187 ist seit einiger Zeit der Injektion dieses gewesen header in allen unseren HTTP-Datenverkehr. 618 00:32:28,187 --> 00:32:29,020 Warum tun sie das? 619 00:32:29,020 --> 00:32:31,920 Vermutlich für die Verfolgung von Gründen für Werbe Gründen. 620 00:32:31,920 --> 00:32:36,280 >> Aber der debilen Design-Entscheidung hierbei ist, dass ein HTTP-Header, 621 00:32:36,280 --> 00:32:41,090 wie Sie Jungs aus pset6 wissen, wird von jedem Web-Server empfangen 622 00:32:41,090 --> 00:32:42,540 dass Sie Ihr Interesse an Verkehr. 623 00:32:42,540 --> 00:32:44,248 Also die ganze Zeit, wenn du hast Besuch 624 00:32:44,248 --> 00:32:48,019 Facebook oder Google Mail oder eine Website dass kein SSL ganze Zeit-- 625 00:32:48,019 --> 00:32:49,810 und tatsächlich, jene zwei zum Glück jetzt do-- 626 00:32:49,810 --> 00:32:52,670 aber auch andere Websites, die kein SSL verwenden die ganze Zeit, 627 00:32:52,670 --> 00:32:54,930 Verizon hat im Wesentlichen pflanzt, zwangsweise, 628 00:32:54,930 --> 00:32:58,180 Handstempel auf allen unseren Hände, die auch wir nicht sehen, 629 00:32:58,180 --> 00:33:00,330 sondern tun die Ende Webseiten. 630 00:33:00,330 --> 00:33:02,890 Und so ist es nicht so gewesen hart für jeden im Internet 631 00:33:02,890 --> 00:33:05,245 einen Web-Server auf realisieren, ooh, das ist David, 632 00:33:05,245 --> 00:33:09,340 oder, ooh, ist dies Davin, auch wenn wir rigorosen über räumen unser Plätzchen, 633 00:33:09,340 --> 00:33:10,772 weil es nicht von uns kommen. 634 00:33:10,772 --> 00:33:11,980 Es ist von dem Träger kommen. 635 00:33:11,980 --> 00:33:14,896 >> Sie machen einen Lookup auf Ihre Telefonnummer und dann sagen, oh, das ist David. 636 00:33:14,896 --> 00:33:18,890 Lassen Sie mich zu injizieren eine eindeutige Kennung, so dass unsere Werbekunden oder wer kann 637 00:33:18,890 --> 00:33:19,850 verfolgen diese. 638 00:33:19,850 --> 00:33:23,769 Also das ist eigentlich sehr, sehr, sehr schlecht und erschreckend. 639 00:33:23,769 --> 00:33:26,060 Und ich möchte Sie ermutigen Schauen Sie, zum Beispiel, 640 00:33:26,060 --> 00:33:29,950 unter dieser URL, die ich lehnen sollte Ich tatsächlich versucht dies an diesem Morgen. 641 00:33:29,950 --> 00:33:31,970 Ich schrieb ein kleines Skript, legte es unter dieser URL, 642 00:33:31,970 --> 00:33:34,770 besucht es mit meinen eigenen Verizon Cellphone nach dem Einschalten Wi-Fi weg. 643 00:33:34,770 --> 00:33:38,010 So müssen Sie die Wi-Fi ausgeschaltet, so dass Sie 3G oder LTE oder dergleichen sind. 644 00:33:38,010 --> 00:33:40,010 Und dann, wenn Sie besuchen Diese URL, all das Skript 645 00:33:40,010 --> 00:33:41,770 tut für euch, wenn Sie möchten, spielen, 646 00:33:41,770 --> 00:33:45,380 wird es ausspuckt, was HTTP-Header Ihr Telefon an unseren Server gesendet. 647 00:33:45,380 --> 00:33:48,510 Und ich eigentlich, in Fairness, tat das nicht an diesem Morgen, sehen die 648 00:33:48,510 --> 00:33:51,430 lässt mich denken, entweder die lokale Handy-Turm wurde ich verbunden 649 00:33:51,430 --> 00:33:55,160 oder Dingsbums macht es nicht, oder sie haben zog sich, dies zu tun vorübergehend. 650 00:33:55,160 --> 00:33:58,160 Aber für weitere Informationen, auf diese URL Kopf hier. 651 00:33:58,160 --> 00:34:00,680 >> Und nun, dies this-- Comic könnte Sinn machen. 652 00:34:00,680 --> 00:34:03,530 653 00:34:03,530 --> 00:34:04,030 Nein? 654 00:34:04,030 --> 00:34:04,530 Ok. 655 00:34:04,530 --> 00:34:05,390 In Ordnung. 656 00:34:05,390 --> 00:34:06,310 Das gestorben. 657 00:34:06,310 --> 00:34:07,240 In Ordnung. 658 00:34:07,240 --> 00:34:11,330 >> Werfen wir also einen Blick auf ein paar mehr Angriffe, wenn auch nur die Sensibilisierung 659 00:34:11,330 --> 00:34:13,179 und dann bieten ein paar mögliche Lösungen 660 00:34:13,179 --> 00:34:14,430 so dass Sie umso mehr bewusst sind. 661 00:34:14,430 --> 00:34:17,305 Dieses wir über die anderen gesprochen Tag, aber nicht einen Namen zu geben, um es. 662 00:34:17,305 --> 00:34:22,360 Es ist ein Cross-Site Request Forgery, die ist ein übermäßig andere Art zu sagen 663 00:34:22,360 --> 00:34:26,489 Sie einen Benutzer zum Klicken auf Trick eine URL wie diese, die ihnen Tricks 664 00:34:26,489 --> 00:34:28,280 in einige Verhaltensweisen, sie habe nicht die Absicht. 665 00:34:28,280 --> 00:34:30,710 >> In diesem Fall scheint zu versuchen, mich zu betrügen 666 00:34:30,710 --> 00:34:32,920 in Verkauf meiner Anteile an Google. 667 00:34:32,920 --> 00:34:36,810 Und das wird, wenn erfolgreich I, der Programmierer pset7, 668 00:34:36,810 --> 00:34:40,409 haben nicht getan, was? 669 00:34:40,409 --> 00:34:44,739 Oder besser gesagt, ganz allgemein, in dem, was Fällen bin ich anfällig für einen Angriff 670 00:34:44,739 --> 00:34:49,460 wenn jemand Tricks ein anderer Benutzer zum Klicken auf einen URL wie diese? 671 00:34:49,460 --> 00:34:49,960 Ja? 672 00:34:49,960 --> 00:34:52,500 >> PUBLIKUM: Sie müssen nicht zu unterscheiden zwischen GET und POST. 673 00:34:52,500 --> 00:34:52,760 >> DAVID J. MALAN: Gut. 674 00:34:52,760 --> 00:34:54,850 Wenn wir nicht zu unterscheiden zwischen GET und POST, 675 00:34:54,850 --> 00:34:57,950 und in der Tat, wenn wir zulassen, GET für den Verkauf von Dingen, 676 00:34:57,950 --> 00:35:00,284 laden wir diese Art von Angriff. 677 00:35:00,284 --> 00:35:01,950 Aber wir konnten noch mildern etwas. 678 00:35:01,950 --> 00:35:04,283 Und ich sagte: Ich glaube, letzte Woche, dass Amazon zumindest 679 00:35:04,283 --> 00:35:08,180 versucht, diese mit einer Technik zu mildern das ist ziemlich einfach. 680 00:35:08,180 --> 00:35:11,860 Was wäre eine gute Idee zu tun auf Ihrem Server, 681 00:35:11,860 --> 00:35:14,652 anstatt nur blind verkaufen was auch immer Symbol der Benutzer in? 682 00:35:14,652 --> 00:35:15,984 PUBLIKUM: Bestätigung der möglichen? 683 00:35:15,984 --> 00:35:19,320 DAVID J. MALAN: Ein Bestätigungsbildschirm, etwas mit menschlicher Interaktion 684 00:35:19,320 --> 00:35:21,300 so dass ich gezwungen machen das Urteil nennen, 685 00:35:21,300 --> 00:35:23,930 auch wenn ich naiv angeklickt ein Link, der wie folgt aussieht 686 00:35:23,930 --> 00:35:27,760 und führte mich in die Zelle Bildschirm an wenigstens hat mich gebeten, zu bestätigen oder zu leugnen. 687 00:35:27,760 --> 00:35:32,460 Aber kein ungewöhnlicher Angriff, vor allem in so genannten Phishing oder Spam-like 688 00:35:32,460 --> 00:35:33,280 Anschläge. 689 00:35:33,280 --> 00:35:34,890 >> Jetzt ist dieses ein wenig subtiler. 690 00:35:34,890 --> 00:35:37,060 Dies ist eine Cross-Site-Scripting-Angriff. 691 00:35:37,060 --> 00:35:39,250 Und das passiert, wenn Ihr Website ist nicht mit 692 00:35:39,250 --> 00:35:41,260 das Äquivalent von htmlspecialchars. 693 00:35:41,260 --> 00:35:45,160 Und es nimmt Benutzereingaben und einfach blind Injektion in einer Web-Seite, 694 00:35:45,160 --> 00:35:48,170 als mit Druck oder Echo, with-- again-- etwas heraus telefonieren 695 00:35:48,170 --> 00:35:49,710 wie htmlspecialchars. 696 00:35:49,710 --> 00:35:52,602 >> So nehme die Website in Frage ist vulnerable.com. 697 00:35:52,602 --> 00:35:55,620 Und angenommen, es übernimmt ein Parameter namens q. 698 00:35:55,620 --> 00:35:59,040 Schauen Sie, was passieren könnte, wenn ich eigentlich ein schlechter Kerl, 699 00:35:59,040 --> 00:36:02,360 geben oder Trick einen Benutzer Besuch einer URL, die wie this-- sieht 700 00:36:02,360 --> 00:36:05,900 q = offene Skript-Tag, geschlossen script-Tag. 701 00:36:05,900 --> 00:36:08,480 Und weiter: Ich gehe davon aus, dass vulnerable.com nicht 702 00:36:08,480 --> 00:36:11,740 geht gefährlich zu drehen Charaktere wie offenen Klammern 703 00:36:11,740 --> 00:36:15,570 in HTML-Entitäten, die Et-Zeichen, L-T, Semikolon Sache 704 00:36:15,570 --> 00:36:17,090 dass Sie vielleicht gesehen haben. 705 00:36:17,090 --> 00:36:18,900 >> Aber was ist das Skript oder JavaScript-Code 706 00:36:18,900 --> 00:36:21,160 Ich versuche, ein Trick Benutzer in der Ausführung? 707 00:36:21,160 --> 00:36:25,420 Nun, bezieht document.location um aktuelle Adresse meines Browsers. 708 00:36:25,420 --> 00:36:29,400 Also, wenn ich tun document.location =, Dies ermöglicht es mir, um den Benutzer umleiten 709 00:36:29,400 --> 00:36:30,830 in JavaScript zu einer anderen Website. 710 00:36:30,830 --> 00:36:34,290 Es ist wie unsere PHP-Funktion umzuleiten, aber in JavaScript getan. 711 00:36:34,290 --> 00:36:35,900 >> Wo bin ich versucht, den Benutzer zu senden? 712 00:36:35,900 --> 00:36:40,110 Nun, es scheint, badguy.com/log.php, denen einige Skript ist, offenbar, 713 00:36:40,110 --> 00:36:43,530 der Bösewicht schrieb, das dauert ein Parameter namens Cookie. 714 00:36:43,530 --> 00:36:46,790 >> Und beachtet, was muss ich scheinen Verketten 715 00:36:46,790 --> 00:36:49,190 auf das Ende dieses Gleichheitszeichen? 716 00:36:49,190 --> 00:36:52,030 Nun, etwas, das sagt document.cookie. 717 00:36:52,030 --> 00:36:53,320 Wir haben noch nicht darüber gesprochen. 718 00:36:53,320 --> 00:36:55,730 Aber es stellt sich heraus, in JavaScript, genau wie in PHP, 719 00:36:55,730 --> 00:36:59,770 Sie alle Cookies zugreifen dass Ihr Browser ist eigentlich mit. 720 00:36:59,770 --> 00:37:02,180 >> So dass die Wirkung dieses einen Codezeile, wenn ein Benutzer 721 00:37:02,180 --> 00:37:06,440 wird in diesem Link ausgetrickst und die Website vulnerable.com nicht 722 00:37:06,440 --> 00:37:10,000 entkommen sie mit htmlspecialchars, ist, dass Sie nur effektiv haben 723 00:37:10,000 --> 00:37:13,660 hochgeladen, um alle Ihre Cookies log.php. 724 00:37:13,660 --> 00:37:17,300 Und das ist nicht immer so problematisch, es sei denn, einer jener Cookies 725 00:37:17,300 --> 00:37:20,040 ist Ihre Session-ID, Ihr sogenannten Handstempel, die 726 00:37:20,040 --> 00:37:26,470 bedeutet badguy.com kann seinen eigenen zu machen HTTP-Anfragen, Senden dieser gleichen Hand 727 00:37:26,470 --> 00:37:30,210 Stempel, dass dieselbe Cookie-Header, und melden Sie sich unabhängig von Website 728 00:37:30,210 --> 00:37:33,680 Sie waren zu Besuch, die in dieser Fall ist vulnerable.com. 729 00:37:33,680 --> 00:37:35,940 Es ist eine Cross-Site-Scripting Angriff im Sinne 730 00:37:35,940 --> 00:37:38,130 dass Sie Art von Täuschung einer Website in Erzählen 731 00:37:38,130 --> 00:37:43,560 eine weitere Website über einige Informationen es sollte in der Tat nicht, Zugriff haben. 732 00:37:43,560 --> 00:37:46,510 >> In Ordnung, bereit für ein andere beunruhigend Detail? 733 00:37:46,510 --> 00:37:49,970 Alles klar, die Welt ist ein beängstigender Ort, rechtmäßig so. 734 00:37:49,970 --> 00:37:52,480 Hier ist eine einfache JavaScript-Beispiel, das ist 735 00:37:52,480 --> 00:37:54,847 in der heutigen Quellcode genannt Geolocation 0 und 1. 736 00:37:54,847 --> 00:37:56,930 Und es gibt ein paar Komplettlösungen Online für diese. 737 00:37:56,930 --> 00:37:59,920 >> Und es sieht folgendes, wenn ich öffnen dieser Web-Seite in Chrome. 738 00:37:59,920 --> 00:38:04,590 Es tut zunächst nichts. 739 00:38:04,590 --> 00:38:07,300 OK, wir werden dies noch einmal zu versuchen. 740 00:38:07,300 --> 00:38:07,800 Oh. 741 00:38:07,800 --> 00:38:10,990 742 00:38:10,990 --> 00:38:13,370 Nein, es sollte etwas tun. 743 00:38:13,370 --> 00:38:16,500 OK, stehen. 744 00:38:16,500 --> 00:38:18,200 >> Lassen Sie uns versuchen, diese noch einmal. 745 00:38:18,200 --> 00:38:21,285 746 00:38:21,285 --> 00:38:21,785 [Unverständlich] 747 00:38:21,785 --> 00:38:26,941 748 00:38:26,941 --> 00:38:29,444 Ah, OK, nicht sicher, warum the-- oh, das Gerät 749 00:38:29,444 --> 00:38:31,360 wahrscheinlich Internet verloren Zugang aus irgendeinem Grund. 750 00:38:31,360 --> 00:38:32,840 Alles klar, so passiert mir auch. 751 00:38:32,840 --> 00:38:34,650 >> Alles klar, so Bekanntmachung was ist denn hier los. 752 00:38:34,650 --> 00:38:37,300 Diese kryptische aussehende URL, die ist nur eine der CS50-Server, 753 00:38:37,300 --> 00:38:41,130 will meinen Computer verwenden Lage, wie physisch bedeutet es. 754 00:38:41,130 --> 00:38:45,160 Und wenn, ja, klicken Sie auf I auf Lassen Sie, lassen Sie uns sehen, was passiert. 755 00:38:45,160 --> 00:38:49,030 Offenbar ist dies meine aktuelle Breite und Längskoordinaten unten 756 00:38:49,030 --> 00:38:51,660 auf eine verdammt gute Auflösung. 757 00:38:51,660 --> 00:38:53,310 >> Wie kam ich auf diese? 758 00:38:53,310 --> 00:38:57,620 Wie funktioniert diese Website, wie CS50-Server, weiß physikalisch überall auf der Welt 759 00:38:57,620 --> 00:38:59,600 Ich bin, geschweige denn mit dieser Präzision. 760 00:38:59,600 --> 00:39:01,990 Nun stellt out-- uns einfach lassen Schauen Sie sich die Seite des source-- 761 00:39:01,990 --> 00:39:05,280 dass hier ist ein Bündel von HTML an der Boden, die erste hat this-- 762 00:39:05,280 --> 00:39:09,080 body onload = "geolocate" - nur eine Funktion, die ich geschrieben habe. 763 00:39:09,080 --> 00:39:11,840 >> Und ich sage, zum Einlegen die Seite, rufen Geolokalisieren. 764 00:39:11,840 --> 00:39:13,750 Und dann gibt es nichts in den Körper, da 765 00:39:13,750 --> 00:39:16,270 im Kopf der Seite, bemerken, was ich hier habe. 766 00:39:16,270 --> 00:39:18,090 Hier ist meine Geolokalisieren Funktion. 767 00:39:18,090 --> 00:39:23,560 Und das ist nur ein Fehler checking-- wenn der Typ des navigator.geolocation 768 00:39:23,560 --> 00:39:24,490 ist nicht definiert. 769 00:39:24,490 --> 00:39:26,240 So JavaScript hat diese Mechanismus, in dem Sie 770 00:39:26,240 --> 00:39:28,270 kann sagen, was ist der Typ dieser Variable? 771 00:39:28,270 --> 00:39:30,790 Und wenn es nicht undefined-- das bedeutet, es ist etwas value-- 772 00:39:30,790 --> 00:39:35,940 Ich werde rufen navigator.geolocation.getCurrentPosition 773 00:39:35,940 --> 00:39:37,230 und dann Rückruf. 774 00:39:37,230 --> 00:39:37,750 >> Was ist das? 775 00:39:37,750 --> 00:39:39,916 Also in der Regel, was ist ein Rückruf, nur klar zu sein? 776 00:39:39,916 --> 00:39:42,890 Möglicherweise begegnet dies bereits in pset8. 777 00:39:42,890 --> 00:39:44,790 Rückruf ist eine generische Begriff für das, was? 778 00:39:44,790 --> 00:39:48,430 779 00:39:48,430 --> 00:39:49,554 Fühlt nur mir heute. 780 00:39:49,554 --> 00:39:50,470 PUBLIKUM: [unverständlich]. 781 00:39:50,470 --> 00:39:53,322 782 00:39:53,322 --> 00:39:55,280 DAVID J. MALAN: Genau, Eine Funktion, die sollte 783 00:39:55,280 --> 00:39:57,330 nur aufgerufen werden, wenn wir Daten haben. 784 00:39:57,330 --> 00:40:01,510 Dieser Aufruf an den Browser, meine aktuellen Position, vielleicht eine Millisekunde dauern, 785 00:40:01,510 --> 00:40:02,720 es eine Minute dauern kann. 786 00:40:02,720 --> 00:40:06,960 Was dies bedeutet, ist, dass wir sagen, Das GET getCurrentPosition Verfahren, 787 00:40:06,960 --> 00:40:09,910 nennen diese Callback-Funktion, die ich wörtlich benannt Rückruf 788 00:40:09,910 --> 00:40:13,150 der Einfachheit halber, die anscheinend ist diese hier. 789 00:40:13,150 --> 00:40:16,290 >> Und der Weg getCurrentPosition arbeitet, einfach durch Lesen der Dokumentation 790 00:40:16,290 --> 00:40:19,540 für einige JavaScript-Code online, ist dass es fordert, dass so genannte Callback 791 00:40:19,540 --> 00:40:23,220 Funktion, übergibt es in es ist ein JavaScript-Objekt, 792 00:40:23,220 --> 00:40:28,970 innerhalb dessen ist .coords.latitude und .coords.longitude, 793 00:40:28,970 --> 00:40:32,140 das ist genau das, wie, dann, wenn ich diese Seite neu geladen wird, 794 00:40:32,140 --> 00:40:33,985 Ich konnte meine Position hier zu sehen. 795 00:40:33,985 --> 00:40:35,610 Nun, zumindest gab es eine Verteidigung hier. 796 00:40:35,610 --> 00:40:37,820 Bevor ich besucht diese Seite, wenn es tatsächlich funktioniert, 797 00:40:37,820 --> 00:40:40,935 was wollte ich zumindest für aufgefordert? 798 00:40:40,935 --> 00:40:42,180 >> PUBLIKUM: [unverständlich]. 799 00:40:42,180 --> 00:40:44,200 >> DAVID J. MALAN: Ja oder NO- tun Sie zulassen oder ablehnen wollen? 800 00:40:44,200 --> 00:40:46,630 Aber denken Sie auch über die Gewohnheiten euch haben wahrscheinlich angenommen, 801 00:40:46,630 --> 00:40:48,330 sowohl auf Ihrem Telefon und Ihrem Browser. 802 00:40:48,330 --> 00:40:50,390 Viele von uns, mich selbst enthalten, sind wahrscheinlich 803 00:40:50,390 --> 00:40:54,960 ziemlich prädisponiert diese days-- Sie ein Pop-up, geben Sie einfach, OK, genehmigen, 804 00:40:54,960 --> 00:40:55,730 Zulassen. 805 00:40:55,730 --> 00:40:59,070 Und immer, Sie setzen können selbst in Gefahr aus diesen Gründen. 806 00:40:59,070 --> 00:41:03,280 >> Also in der Tat, es war diese wunderbare bug ein paar Jahren ago-- oder mangelnde feature-- 807 00:41:03,280 --> 00:41:08,250 iTunes vor einigen Jahren, wobei, wenn Sie ein Handy hatten, 808 00:41:08,250 --> 00:41:12,000 und es war ein iPhone, und Sie Ihr Haus verlassen 809 00:41:12,000 --> 00:41:15,600 und damit um die Welt gereist oder die Nachbarschaft, die ganze Zeit, 810 00:41:15,600 --> 00:41:17,819 Ihr Telefon wurde Anmeldung wo Sie sind via GPS. 811 00:41:17,819 --> 00:41:20,610 Und dies ist tatsächlich offenbart, und Menschen, Art erwarten, dass diese jetzt. 812 00:41:20,610 --> 00:41:21,930 Das Telefon weiß, wo Sie sind. 813 00:41:21,930 --> 00:41:24,990 Aber das Problem, dass, wenn Sie Sichern wurden 814 00:41:24,990 --> 00:41:29,260 Ihr Telefon iTunes-- das war vor die Tage der iCloud, die für eine bessere ist 815 00:41:29,260 --> 00:41:33,960 oder worse-- die Daten, die gespeichert wurde, in iTunes, komplett unverschlüsselt. 816 00:41:33,960 --> 00:41:37,370 Also, wenn Sie eine Familie oder Mitbewohner haben oder ein böswilliger Nachbar, der ist 817 00:41:37,370 --> 00:41:41,430 neugierig buchstäblich jedem GPS koordinieren Sie jemals gewesen zu sein, 818 00:41:41,430 --> 00:41:43,300 er oder sie konnte es einfach setze mich an iTunes, laufen 819 00:41:43,300 --> 00:41:46,540 Einige Programme, die frei war zur Verfügung und produzieren Karten wie diese. 820 00:41:46,540 --> 00:41:48,680 >> In der Tat ist das, was ich meiner eigenen Telefon produziert. 821 00:41:48,680 --> 00:41:49,380 Ich steckte es ein. 822 00:41:49,380 --> 00:41:51,670 Und wie es aussieht, basiert auf die blauen Punkte gibt, 823 00:41:51,670 --> 00:41:53,900 das ist, wo die meisten die GPS-Koordinaten waren 824 00:41:53,900 --> 00:41:56,680 von iTunes angemeldet, dass ich war im Nordosten gibt. 825 00:41:56,680 --> 00:42:00,030 Aber ich anscheinend rund gereist etwas, auch innerhalb Massachusetts. 826 00:42:00,030 --> 00:42:01,950 >> Also das ist, Boston Harbor da auf der rechten Seite. 827 00:42:01,950 --> 00:42:04,430 Das ist irgendwie Cambridge und Boston, wo es am dunkelsten. 828 00:42:04,430 --> 00:42:07,660 Und gelegentlich, würde ich laufen Besorgungen großer Geographie. 829 00:42:07,660 --> 00:42:11,464 >> Aber iTunes, seit Jahren hatte, wie am besten Ich könnte sagen, alle diese Daten auf mich. 830 00:42:11,464 --> 00:42:13,380 Man könnte sagen, dass, in diesem Jahr, eigentlich war ich 831 00:42:13,380 --> 00:42:17,990 viel unterwegs zwischen Boston und New York hin und her 832 00:42:17,990 --> 00:42:18,830 und hin und her. 833 00:42:18,830 --> 00:42:22,660 Und in der Tat, das ist mir auf Amtrak, zurück und her, hin und her, ein ganzes Stück. 834 00:42:22,660 --> 00:42:25,970 All das wurde protokolliert und gelagert auf meinem Computer verschlüsselt 835 00:42:25,970 --> 00:42:28,520 für alle, die haben könnte Zugang zu meinem Computer. 836 00:42:28,520 --> 00:42:29,480 >> Das war besorgniserregend. 837 00:42:29,480 --> 00:42:32,180 Ich wusste nicht, warum ich in Pennsylvania oder warum 838 00:42:32,180 --> 00:42:35,277 Mein Telefon wurde in Pennsylvania, offenbar ziemlich dicht. 839 00:42:35,277 --> 00:42:37,360 Und dann, endlich, schaute ich an meinem Gcal und, oh, ich 840 00:42:37,360 --> 00:42:39,880 besucht CMU, Carnegie Mellon, zu der Zeit. 841 00:42:39,880 --> 00:42:42,031 Und puh, diese Art von erklärte, dass Blip. 842 00:42:42,031 --> 00:42:43,780 Und dann, wenn man heran aus weiter, können Sie 843 00:42:43,780 --> 00:42:46,850 sehe ich besucht San Francisco ein oder mehrere Male dann, 844 00:42:46,850 --> 00:42:51,140 und ich hatte sogar einen Zwischenstopp in dem, was Ich denke, ist Vegas, da unten. 845 00:42:51,140 --> 00:42:54,120 Also alle this-- nur Zwischenstopp am Flughafen. 846 00:42:54,120 --> 00:42:56,420 >> PUBLIKUM: [Gelächter] 847 00:42:56,420 --> 00:43:00,760 >> Das ist also nur zu sagen, dass diese Probleme, ehrlich gesagt, sind allgegenwärtig. 848 00:43:00,760 --> 00:43:02,780 Und es fühlt sich nur zunehmend wie es 849 00:43:02,780 --> 00:43:05,810 mehr und mehr davon offengelegt, Das ist wahrscheinlich eine gute Sache. 850 00:43:05,810 --> 00:43:08,390 Ich wage zu behaupten, die Welt ist nicht immer schlimmer bei Schreibsoftware. 851 00:43:08,390 --> 00:43:10,520 Wir sind immer besser, hoffentlich bei Bemerken 852 00:43:10,520 --> 00:43:13,037 wie schlecht bestimmte Software ist, dass wir mit. 853 00:43:13,037 --> 00:43:14,870 Und Gott sei Dank, einige Unternehmen beginnen 854 00:43:14,870 --> 00:43:17,080 verantwortlich für diese gehalten werden. 855 00:43:17,080 --> 00:43:19,080 >> Aber welche Arten von Verteidigungsanlagen können Sie im Sinn haben? 856 00:43:19,080 --> 00:43:23,610 So außer Passwort-Manager, wie 1Password und Lastpass und andere, 857 00:43:23,610 --> 00:43:27,340 neben nur, wenn Sie Ihre Passwörter und kommen mit Zufalls Einsen 858 00:43:27,340 --> 00:43:29,700 mit Software wie dass Sie auch versuchen können 859 00:43:29,700 --> 00:43:31,700 so gut Sie können, um zu verschlüsseln alle Ihre Verkehrs 860 00:43:31,700 --> 00:43:34,680 mindestens schmal der Bereich der Bedrohung. 861 00:43:34,680 --> 00:43:38,100 So zum Beispiel, als Harvard verbundenen Unternehmen, Sie alle gehen zu vpn.harvard.edu 862 00:43:38,100 --> 00:43:41,010 und melden Sie sich mit Ihrem Harvard-ID und PIN. 863 00:43:41,010 --> 00:43:49,350 Und das wird eine sichere etablieren Verbindung zwischen Ihnen und Harvard. 864 00:43:49,350 --> 00:43:51,150 >> Nun, das tut nicht unbedingt schützen 865 00:43:51,150 --> 00:43:54,360 gegen alle Bedrohungen, die dazwischen sind Harvard und Facebook oder Harvard 866 00:43:54,360 --> 00:43:54,861 und Gmail. 867 00:43:54,861 --> 00:43:56,735 Aber wenn Sie sitzen in einem Flughafen oder du bist 868 00:43:56,735 --> 00:43:59,260 sitzt im Starbucks oder du bist sitzt am Ort eines Freundes, 869 00:43:59,260 --> 00:44:02,730 und Sie müssen nicht wirklich vertrauen ihnen oder ihren Konfiguration ihrer Heim-Router, 870 00:44:02,730 --> 00:44:04,970 Sie zumindest glaubhaft machen kann eine sichere Verbindung 871 00:44:04,970 --> 00:44:10,260 an ein Unternehmen wie dieses Hotel, dass ist wahrscheinlich ein wenig besser gesichert 872 00:44:10,260 --> 00:44:12,437 als so etwas wie ein Bucks oder dergleichen. 873 00:44:12,437 --> 00:44:14,270 Und was das bedeutet ist es feststellt, wieder, 874 00:44:14,270 --> 00:44:16,300 Verschlüsselung zwischen Ihnen und dem Endpunkt. 875 00:44:16,300 --> 00:44:17,880 >> Auch Züchter sind Dinge wie diese. 876 00:44:17,880 --> 00:44:20,000 Also einige von euch vielleicht schon sein mit Tor vertraut, 877 00:44:20,000 --> 00:44:22,930 Das ist diese Art der Anonymisierung Netzwerk, wobei viele Leute, 878 00:44:22,930 --> 00:44:26,640 wenn sie diese Software ausführen, route anschließend ihre Internet 879 00:44:26,640 --> 00:44:27,990 Verkehr durch einander. 880 00:44:27,990 --> 00:44:31,460 Also die kürzeste Punkt ist nicht mehr zwischen A und B. 881 00:44:31,460 --> 00:44:35,850 Aber es könnte der ganzen sein statt, so dass Sie im Grunde sind 882 00:44:35,850 --> 00:44:40,742 Abdecken eigenen Tracks und verlassen weniger ein Rekord, wo Sie Ihre HTTP 883 00:44:40,742 --> 00:44:43,950 Verkehr kam, denn es wird durch eine ganze Reihe von anderen Volks 884 00:44:43,950 --> 00:44:45,990 Laptops oder Desktops, zum Guten oder zum Schlechten. 885 00:44:45,990 --> 00:44:48,180 >> Aber auch dies ist nicht eine todsichere Sache. 886 00:44:48,180 --> 00:44:51,560 Einige von euch haben vielleicht im letzten Jahr erinnern die Bombendrohung, die in genannt wurde. 887 00:44:51,560 --> 00:44:54,662 Und es war letztlich ein zurückverfolgt Benutzer, der hier dieses Netzwerk benutzt hatte. 888 00:44:54,662 --> 00:44:57,870 Und der Haken dort, wie ich mich erinnere, ist, wenn es nicht so viele andere Leute 889 00:44:57,870 --> 00:45:02,190 Verwendung einer Software wie diese oder mit diesen Port und Protokoll, 890 00:45:02,190 --> 00:45:06,250 es ist nicht so schwer, für ein Netzwerk, um auch herauszufinden, wer, mit einiger Wahrscheinlichkeit, 891 00:45:06,250 --> 00:45:08,950 war in der Tat Anonymisierungs seine Verkehr. 892 00:45:08,950 --> 00:45:12,030 >> Und ich weiß nicht, ob das waren die tatsächlichen Angaben in Frage. 893 00:45:12,030 --> 00:45:15,400 Aber sicherlich, zu realisieren, dass keine der diese sind absolut sichere Lösungen sowie. 894 00:45:15,400 --> 00:45:18,820 Und das Ziel heute hier ist, um mindestens erhalten Sie über diese Dinge nachzudenken 895 00:45:18,820 --> 00:45:23,140 und kommen mit Techniken zur verteidigen Sie sich gegen sie. 896 00:45:23,140 --> 00:45:28,858 Irgendwelche Fragen zu all den Bedrohungen die Sie erwarten gibt, und hier? 897 00:45:28,858 --> 00:45:29,358 Ja? 898 00:45:29,358 --> 00:45:29,858 899 00:45:29,858 --> 00:45:31,793 PUBLIKUM: Wie sicher tun erwarten wir die durchschnittliche 900 00:45:31,793 --> 00:45:35,210 [? Website zu sein,?] wie die durchschnittliche CS50 Projekt? 901 00:45:35,210 --> 00:45:38,530 >> DAVID J. MALAN: Der durchschnittliche CS50 Projekt? 902 00:45:38,530 --> 00:45:43,190 Es ist immer jedes Jahr bewiesen, dass einige CS50 letzten Projekte sind nicht 903 00:45:43,190 --> 00:45:44,530 besonders sicher. 904 00:45:44,530 --> 00:45:47,940 Normalerweise ist es einige Mitbewohner oder hallmate dass Zahlen this out 905 00:45:47,940 --> 00:45:51,200 durch Senden von Anforderungen an Ihr Projekt. 906 00:45:51,200 --> 00:45:55,230 >> Short answer-- wie viele Webseiten sind sicher? 907 00:45:55,230 --> 00:45:57,450 Ich empfange heute Anomalien. 908 00:45:57,450 --> 00:46:00,640 Wie war es nur Zufall dass ich erkannte, dass diese Website 909 00:46:00,640 --> 00:46:03,390 Ich habe die Bestellung diese offen köstliche Arrangements from-- 910 00:46:03,390 --> 00:46:05,348 und ich bin nicht sicher, ich werde aufhören, ihre Website; 911 00:46:05,348 --> 00:46:08,030 Ich könnte nur ändern meine Kennwort mehr regularly-- 912 00:46:08,030 --> 00:46:11,320 Es ist nicht klar, wie anfällig alle diese various-- 913 00:46:11,320 --> 00:46:12,970 dies ist mit Schokolade überzogene tatsächlich. 914 00:46:12,970 --> 00:46:16,172 915 00:46:16,172 --> 00:46:19,130 Die kurze Antwort, kann ich nicht beantworten, effektiv, außer, es zu sagen 916 00:46:19,130 --> 00:46:22,150 war nicht so schwer für mich, finden einige dieser Beispiele nur 917 00:46:22,150 --> 00:46:24,040 aus Gründen der Diskussion in der Vorlesung. 918 00:46:24,040 --> 00:46:26,456 Und genau im Auge zu behalten Google News und anderen Ressourcen 919 00:46:26,456 --> 00:46:29,590 wird umso mehr von bringen diese Dinge ans Licht. 920 00:46:29,590 --> 00:46:32,460 >> Alles klar, lass uns Schluss mit diesem Prequel 921 00:46:32,460 --> 00:46:36,870 dass CS50 Team hat für Sie vorbereitet in Erwartung der CS50 Hackathon. 922 00:46:36,870 --> 00:46:39,763 Und auf dem Weg in eine Moment wird Obst serviert werden. 923 00:46:39,763 --> 00:46:40,429 [VIDEO PLAYBACK] 924 00:46:40,429 --> 00:46:43,595 [MUSIC Fergie, Q-Tipp und GoonRock, "A LITTLE PARTY tötete nie NIEMAND (ALL 925 00:46:43,595 --> 00:46:44,373 WE GOT) "] 926 00:46:44,373 --> 00:48:08,880 927 00:48:08,880 --> 00:48:13,467 >> - [SNORING] 928 00:48:13,467 --> 00:48:14,300 [END VIDEO PLAYBACK] 929 00:48:14,300 --> 00:48:15,420 DAVID J. MALAN: Das war es für CS50. 930 00:48:15,420 --> 00:48:16,544 Registrieren Sie sich am Mittwoch zu sehen. 931 00:48:16,544 --> 00:48:20,670 932 00:48:20,670 --> 00:48:25,840 [MUSIK - Skrillex "IMMA" Probieren Sie es aus "] 933 00:48:25,840 --> 00:51:47,776