David J. Malan: Αυτό είναι CS50, και αυτή είναι η αρχή της εβδομάδας 10. Ίσως να θυμάστε ότι έχουμε δείξει στην οθόνη ένα 3D εκτυπωτή, η οποία είναι ότι αυτή η συσκευή παίρνει καρούλια από πλαστικό και στη συνέχεια να εξωθεί με θέρμανση μέχρι και την τήξη ώστε να μπορούμε στη συνέχεια σχηματίζουν στρατό του Chang της ελέφαντες, για παράδειγμα. 

Έτσι, σε Leverett Σπίτι, αν και, πρόσφατα, ήταν κουβέντα με έναν από σας συμμαθητές και ένας φίλος του Τσανγκ που ονομάζεται Μισέλ, ο οποίος στην πραγματικότητα εγκλεισθούν σε Αυτή η άλλη εταιρεία το περασμένο έτος κατά το οποίο έχει μια διαφορετική τεχνική για την πραγματικότητα δημιουργία τρισδιάστατων αντικειμένων, σαν αυτό το μικροσκοπικό μικρό ελέφαντα εδώ. Ειδικότερα, ο τρόπος με τον οποίο λειτουργεί είναι ότι πρόκειται για ένα παράδειγμα κάτι ονομάζεται στερεολιθογραφία, σύμφωνα με την οποία υπάρχει αυτή η λεκάνη της ρητίνης ή υγρών, και στη συνέχεια ένα λέιζερ χτυπά ότι υγρό, και σταδιακά, η συσκευή ανελκυστήρες και ανελκυστήρες και ανελκυστήρες το πράγμα ότι είστε εκτύπωση, όπως ένας ελέφαντας, όπως ότι το υγρό γίνεται στερεό. Και το αποτέλεσμα, στην πραγματικότητα, Είναι κάτι που είναι πολύ πιο ισχυρή από ό, τι μερικά από τα το πλαστικό δώρα κάποιοι από εσάς θα μπορούσε να έχει. 

Και τι Chang ευγενικά έκανε για μας εδώ ήταν έκανε ένα time-lapse χρησιμοποιώντας φωτογραφίες κατά τη διάρκεια μιας ώρας ή περισσότερο, πιθανώς, να παράγει αυτός ο τύπος εδώ. Θα κάποιον που ποτέ δεν έχει έρθει μέχρι πριν ήθελε να έρθει να χτυπήσει Έναρξη για αυτό το βίντεο; Επιτρέψτε μου να πάει με, πώς περίπου εκεί. Έλα επάνω. Εντάξει. Και είσαι; ΛΟΥΚΑΣ: Το όνομά μου είναι ο Λουκάς [δεν ακούγεται]. David J. Malan: Γεια σου, Λουκ. Χάρηκα για τη γνωριμία. 

ΛΟΥΚΑΣ: Χαίρω πολύ. ΚΟΙΝΟ: Έχει τρέχει για UC. 

David J. Malan: Ξέρω, προσπαθούμε να μην προωθηθεί. Εντάξει, έτσι Λουκά, όλα που έχετε να κάνετε εδώ στο CS50 έχει χτυπήσει την μπάρα διαστήματος για να εκτυπώσετε το ελέφαντα. [ΑΝΑΠΑΡΑΓΩΓΗ] - [ΜΗΧΑΝΗ στροβιλίζεται] - [CRASH] - [BOOM] - [CRASH] [ΤΕΛΟΣ VIDEO Αναπαραγωγή] David J. Malan: Έτσι ώστε να είναι ακριβώς τι είναι σαν να 3D εκτύπωση. Και εδώ είναι ελέφαντας σας. Ευχαριστώ για τον εθελοντισμό. Εντάξει. Έτσι και πάλι, σύμφωνα με την προδιαγραφή για το τελικό σχέδιο, αυτό το υλικό που είναι διαθέσιμες για σας παιδιά είναι, για κάποιο λόγο, το έργο σας έχει κάποια διασταύρωση του λογισμικού και του υλικού, συνειδητοποιήσουμε ότι αυτά είναι πλέον πόρους. 

Ήθελα να λάβει μια στιγμή να αγγίξει μετά από ένα άρθρο Crimson που βγήκαν αργά χθες το βράδυ, η οποία επρόκειτο να ανακοινώνει ότι αυτός ο άνθρωπος εδώ, Ντέιβιντ Johnson, ποιος ήταν ο ανώτερος παιδαγωγός για Ec 10 για αρκετό καιρό, αφήνει Χάρβαρντ το τέλος του ακαδημαϊκού έτους. Και θα ήθελα απλώς να πάρτε μια στιγμή, ειλικρινά, να ευχαριστήσω τον David μπροστά του CS50. Του όντας ένας μέντορας του τα είδη μας όλα αυτά τα χρόνια. 

Και νιώθω σαν να είμαστε, CS50, έχουν μάλλον μεγαλώσει με Ec 10 εδώ, αφού είναι μπροστά μας. Και αυτός και όλη η ομάδα στην Ec 10 έχει ήταν υπέροχα ευγενικό, ειλικρινά, όπως κουβαλάς σε όλες του εξοπλισμού μας κάθε εβδομάδα, και χρόνια πριν, δίνοντας μια μεγάλη συνηγόρου, όπως ήμασταν περίεργος για το πώς λειτουργούν Ec 10. Έτσι, χάρη μας και θαυμασμό για τον David Johnson. 

[Χειροκρότημα] 

Τώρα, unrelatedly, έτσι το τέλος είναι πράγματι κοντά. Είμαστε εδώ στην εβδομάδα 10. Και δεν έχουμε παρά μόνο μια ζευγάρι των τυπικών εβδομάδες εδώ στην κατηγορία αριστερά, ακολουθούμενο από ένα ζευγάρι των γεγονότων. Έτσι για να σας δώσει μια αίσθηση του τι είναι στον ορίζοντα, εδώ που βρισκόμαστε σήμερα. 

Αυτή την Τετάρτη, ανάκληση, θα έχουμε μια διάλεξη επισκεπτών από κανέναν εκτός από Δική του Steve Ballmer της Microsoft. Αν δεν έχετε ακόμη πάει να cs50.harvard.edu/register, πράξει, δεδομένου ότι το διάστημα θα είναι περιορισμένη. Και θα πρέπει να ελέγξει Αναγνωριστικά στην πόρτα για αυτή την ημέρα. Αν δεν ήταν εδώ την περασμένη εβδομάδα, εγώ νόμιζα ότι είχα σας πειράζω με μια διαφορετική ματιά στο Steve και τον ενθουσιασμό που μας περιμένει την Τετάρτη. 

[ΑΝΑΠΑΡΑΓΩΓΗ] 

-Passion. 

-We're Πρόκειται να είναι hardcore-- hardcore. 

-Innovator. 

-Bill Είπε, δεν το πάρει. Εμείς πάμε για να βάλει ένα υπολογιστής σε κάθε γραφείο και σε κάθε σπίτι, η οποία έγινε το σύνθημα για την εταιρεία. Ορκίζομαι, Μπιλ εφεύρει εκείνο το βράδυ για να δώσει πραγματικά μου μερικά από το όραμα του γιατί θα έπρεπε να πω ναι. Ποτέ δεν έχω κοίταξε πίσω, Πραγματικά, μετά από αυτό. 

-Νωπά Έξω από το κολέγιο, προσχώρησε σε μια αρχάρια εκκίνηση και βοήθησε να εξελιχθεί σε μία από της Αμερικής πιο επιτυχημένες επιχειρήσεις ποτέ. Η ζωή και των επιχειρήσεων διδάγματα που αντλήθηκαν κατά μήκος του τρόπου αφήστε τον πίσω να του Το πάθος της παιδικής ηλικίας και της αγάπης. Και αυτές οι εμπειρίες έχουν ετοιμάσει του για την επόμενη πρόκληση της ζωής του. 

-Τίποτα Παίρνει σε τρόπο-- έκρηξη μας! Κρατήστε έρχονται hardcore! Πηγαίνετε Κλίπερς! 

-Αυτό Είναι ο Steve Ballmer, «Με δικά μου λόγια." [ΤΕΛΟΣ VIDEO Αναπαραγωγή] David J. Malan: --Αυτό Τετάρτη έως CS50. Επικεφαλής και πάλι σε αυτό το URL εδώ. Όσο για το τι άλλο είναι στον ορίζοντα, την επόμενη εβδομάδα, δεν διάλεξη τη Δευτέρα. Αλλά θα είμαστε μετά ότι με ένα κουίζ για την Τετάρτη. Μετάβαση στην αρχική σελίδα του CS50 για λεπτομέρειες για ανθρώπους, τόπους και χρόνους για το σύνολο των διαφόρων proctoring logistics και τα παρόμοια, καθώς και για την επανεξέταση συνεδριών που είναι επικείμενη. Και στη συνέχεια, τέλος, τη Δευτέρα, την ημέρα πριν από την εβδομάδα των Ευχαριστιών διάλειμμα, συνειδητοποιούν ότι θα είναι οριστική διάλεξη μας. Θα εξυπηρετήσει κέικ και μια μεγάλη συμφωνία του ενθουσιασμού, ελπίζουμε. 

Τώρα, ένα ζευγάρι από άλλες ενημερωμένες εκδόσεις. Λάβετε υπόψη ότι η κατάσταση έκθεση, η οποία είναι πραγματικά ακριβώς προορίζεται να είναι μια περιστασιακή αλληλεπίδραση με TF σας για να δηλώσει περήφανα μόνο πόσο μακριά μαζί με σας τελικό σχέδιο θα είναι, ή τουλάχιστον ως λογική ελέγξτε ότι θα πρέπει να προσεγγίζει εκείνη το σημείο λίγο αργότερα. Το Hackathon ακολουθεί στη συνέχεια ότι. Συνειδητοποιήστε το Hackathon Δεν είναι μια ευκαιρία για να ξεκινήσει την τελική του έργου σας, αλλά προορίζεται να είναι μια ευκαιρία να είναι στη μέση του ή προς το τέλος του τελικού σχεδίου σας, με την εφαρμογή οφείλεται σε λίγες ημέρες αργότερα, ακολουθούμενη από την εύλογη CS50. 

Τώρα, η παραγωγή του CS50 Η ομάδα, πριν από δύο χρόνια, βάλει μαζί ένα τρέιλερ για τη δίκαιη CS50 ότι εμείς νομίζαμε ότι θα σας δείξουμε σήμερα, επειδή έχουμε ήδη σκληρά κατά την εργασία σε ένα prequel γι 'αυτό, ένα νέο βίντεο ότι θα συνάψει σήμερα με. Αλλά εδώ είναι ό, τι σας περιμένει για τη φετινή CS50 δίκαιη. [ΑΝΑΠΑΡΑΓΩΓΗ] - [ΚΙΝΗΤΟ ΤΗΛΕΦΩΝΟ Δακτυλίωσης] [ΜΟΥΣΙΚΗ "ΘΕΜΑ ΑΠΟ Mission: Impossible"] [ΤΕΛΟΣ VIDEO Αναπαραγωγή] David J. Malan: Έτσι, αυτό είναι ακριβώς το πώς κλείνουμε τελικές υποβολές έργων. Ένα ζευγάρι από τώρα teasers-- αν θα θέλατε να συμμετάσχετε Nick εδώ για το μεσημεριανό γεύμα, ως συνήθως, αυτό Παρασκευή, κατευθυνθείτε σε αυτήν τη διεύθυνση URL εδώ. Επιπλέον, αν θα θέλατε να ενταχθούν Νικ ή αυτό Nick ή αυτό Allison ή οποιαδήποτε τα μέλη της ομάδας του CS50, συνειδητοποιούν ότι, σύντομα μετά τη λήξη όρου, CS50 θα είναι ήδη πρόσληψη για την ομάδα του επόμενου έτους, για το CAS, TFs, σχεδιαστές, παραγωγούς, ερευνητές, καθώς και άλλες θέσεις ότι εδώ λειτουργούν CS50, τόσο σε μπροστά και πίσω από τις σκηνές. Έτσι, αν αυτό μπορεί να έχει ενδιαφέρον για εσάς, το κεφάλι σε αυτό το URL εδώ. Και οι μαθητές πιο άνετα, λιγότερο άνετα, και κάπου στο μεταξύ όσο είναι όλοι ευπρόσδεκτοι και ενθαρρύνονται να εφαρμόσουν. 

Έτσι, ήταν τέλειος συγχρονισμός ότι, δεν αστείο, σήμερα το πρωί, όταν ξύπνησα, Είχα αυτό εδώ το spam στο inbox μου. Είναι πραγματικά γλίστρησε μέσα από το φίλτρο ανεπιθύμητης αλληλογραφίας του Gmail κατά κάποιο τρόπο και κατέληξαν σε πραγματική μου inbox. Και λέει, "Αγαπητοί γραμματοκιβώτιο χρήστη, είστε σήμερα αναβαθμίστηκε σε 4 gigabytes χώρου. Παρακαλώ συνδεθείτε στον λογαριασμό σας προκειμένου να επικυρώσει E-χώρο ». 

Και έπειτα υπάρχει αυτό το ωραίο μπλε προσελκύοντας σύνδεσμο εκεί να κάνετε κλικ στο για τη σχολή και το προσωπικό, το οποίο στη συνέχεια με οδήγησε σε μια θαυμάσια νόμιμο σελίδα, η οποία μου ζήτησαν να τους δώσω το όνομά μου και τη διεύθυνση ηλεκτρονικού ταχυδρομείου και, φυσικά, τον κωδικό πρόσβασης για να επικυρώσετε ποιος είμαι και ούτω καθεξής. Αλλά φυσικά, όπως συμβαίνει πάντα, φτάνετε σε αυτή τη σελίδα προσγείωσης, και, φυσικά, δεν υπάρχει τουλάχιστον ένα τυπογραφικό λάθος, η οποία φαίνεται να είναι το καρφί στο το φέρετρο του κάποια από αυτές τις απάτες. Και εμείς θα δημοσιεύσετε, ίσως, κάποια άλλα συνδέσμους σε αυτά τα είδη των πυροβολισμών οθόνης στο μέλλον. Αλλά ελπίζω, οι περισσότεροι άνθρωποι σε Αυτό το δωμάτιο δεν έχουν clicked-- ή ακόμα και αν έχετε κάνει κλικ αυτών συνδέσεων, όπως αυτό, που δεν έχουν προχωρήσει τόσο πολύ ώστε να συμπληρώσετε τις μορφές και ούτω καθεξής. Στην πραγματικότητα, αυτό είναι εντάξει, αν έχετε. Θα προσπαθήσουμε να καθορίσει ότι σήμερα, επειδή, Πράγματι, η σημερινή συζήτηση είναι σχετικά με την ασφάλεια. 

Και πράγματι, ένα από τα στόχους του CS50 δεν είναι τόσα πολλά να σας διδάξει CE ή PHP ή JavaScript ή SQL ή οποιοδήποτε από αυτά υποκείμενων λεπτομέρειες εφαρμογής. Αλλά αυτό είναι για να σας εξουσιοδοτήσει ως άνθρωπο να κάνει ακριβώς πιο έξυπνες αποφάσεις όπως σχετίζεται με την τεχνολογία κάτω από το δρόμο, έτσι ώστε, αν είστε ένας μηχανικός ή ανθρωπιστή ή επιστήμονας ή οποιοδήποτε άλλο ρόλο, κάνετε συνειδητές αποφάσεις για δική σας χρήση υπολογιστών, ή αν είστε σε μια λήψης αποφάσεων θέση, στην πολιτική, ιδίως, έχετε κάνει πολλά, πολύ καλύτερες αποφάσεις από ένα Πολλοί άνθρωποι σήμερα έχουν γίνει. Και εμείς θα κάνουμε αυτό από τρόπος μερικά παραδείγματα. 

Πρώτον, ήμουν αρκετά έκπληκτος πρόσφατα για να ανακαλύψετε τα ακόλουθα. Έτσι, κωδικούς πρόσβασης, φυσικά, είναι αυτό που οι περισσότεροι από εμάς χρησιμοποιούν για να προστατεύσουν data-- e-mail, chat, και όλα τα είδη των πόρων, όπως αυτό. Και μόνο από ένα awkward-- δεν δείχνουν από τα χέρια, αλλά και αμηχανία εμφάνιση της ντροπής, Πόσοι από εσάς χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης σε πολλές διαφορετικές ιστοσελίδες; 

Ω, εντάξει, έτσι θα κάνουμε τα χέρια. Εντάξει, έτσι πολλοί από εσάς κάνετε. Όποιος το κάνει αυτό, ακριβώς γιατί; Και τι; Ναι; ΚΟΙΝΟ: Είναι εύκολο να θυμόμαστε, διότι δεν έχετε να θυμάστε [δεν ακούγεται]. David J. Malan: Ναι, είναι εύκολο να θυμάστε. Είναι μια απόλυτα λογική, ορθολογική συμπεριφορά, μολονότι ο κίνδυνος τίθεστε σε σε αυτές τις περιπτώσεις είναι απλά μία ή περισσότερες από τις εν λόγω ιστοσελίδες είναι ευάλωτο σε hacking ή να ανασφαλής ή τον κωδικό πρόσβασης σας απλά έτσι καταριέται guessable, ο καθένας μπορεί να το καταλάβω. Δεν είναι μόνο ένα λογαριασμό σε κίνδυνο, αλλά θεωρητικά, οποιαδήποτε λογαριασμούς που έχετε στο διαδίκτυο. Έτσι ξέρω ότι μπορώ να πω σήμερα, δεν κάνει χρησιμοποιούν τον ίδιο κωδικό πρόσβασης παντού, αλλά αυτό είναι πολύ πιο εύκολο στα λόγια παρά στην πράξη. Αλλά υπάρχουν τεχνικές για μετριασμό ότι ιδιαίτερη ανησυχία. 

Τώρα, μπορώ να συμβεί, για παράδειγμα, να χρησιμοποιήστε ένα πρόγραμμα που ονομάζεται 1Password. Μια άλλη δημοφιλής επιλογή ονομάζεται LastPass. Και ένα μάτσο χρήση του προσωπικού CS50 ένα ή περισσότερα από αυτά τα είδη των εργαλείων. Και τα πολυλογώ, ένα πακέτο για σήμερα θα πρέπει να είναι, ναι, μπορεί να έχετε το ίδιο κωδικό παντού, αλλά είναι πολύ εύκολο να το κάνουμε πια αυτό. Για παράδειγμα, αυτές τις μέρες, το ξέρω ίσως μία από τις δεκάδες ή εκατοντάδες μου των κωδικών πρόσβασης. Όλα άλλους κωδικούς μου είναι ψευδο-τυχαία παράγεται από ένα από αυτά τα προγράμματα εδώ. Και με λίγα λόγια, ακόμα και αν και τα περισσότερα από αυτά τα προγράμματα έχουν την τάση να έρχονται με ένα κομμάτι του κόστους, μπορείτε να εγκαταστήσετε ένα πρόγραμμα όπως αυτό, τότε θα αποθηκεύσει όλα ονόματα χρήστη και κωδικούς πρόσβασης σας στο εσωτερικό του εν λόγω προγράμματος για τη δική σας Mac ή PC ή οτιδήποτε, και τότε θα ήταν κρυπτογραφημένα στον υπολογιστή σας με ό, τι ελπίζουμε ότι ιδιαίτερα μεγάλο κωδικό πρόσβασης. Έτσι έχω ένα σωρό κωδικούς πρόσβασης για μεμονωμένους ιστότοπους, και, στη συνέχεια, έχω ένα πραγματικά μακρύ password το οποίο θα χρησιμοποιήσετε για να ξεκλειδώσετε όλα αυτοί οι άλλοι κωδικούς πρόσβασης. Και τι είναι ωραίο για λογισμικού, όπως αυτό είναι ότι, όταν επισκέπτεστε μια ιστοσελίδα που είναι ζητώντας το όνομα χρήστη και τον κωδικό πρόσβασής σας, αυτές τις μέρες, εγώ δεν πληκτρολογήστε το όνομα χρήστη και τον κωδικό πρόσβασής μου, γιατί, και πάλι, εγώ δεν γνωρίζουν καν ό, τι οι περισσότεροι από τους κωδικούς πρόσβασης μου είναι. Εγώ αντί να χτυπήσει ένα πληκτρολόγιο συντόμευση, το αποτέλεσμα της οποίας είναι να προκαλέσει αυτό το λογισμικό για να προτροπή μου για κύριο κωδικό πρόσβασης μου. Στη συνέχεια, πληκτρολογήστε ότι ένα μεγάλο τον κωδικό πρόσβασης και, στη συνέχεια το πρόγραμμα περιήγησης συμπληρώνει αυτόματα τι συνθηματικό μου είναι. Έτσι, πραγματικά, αν πάρετε τίποτα άλλο μακριά από το σήμερα όσον αφορά τους κωδικούς πρόσβασης, αυτά είναι λογισμικό που αξίζουν τη λήψη ή την επένδυση σε τόσο ότι μπορείτε τουλάχιστον να σπάσει ότι η συγκεκριμένη συνήθεια. Και αν είστε ο τύπος που είναι χρησιμοποιώντας Post-It σημειώνει ή η like-- και οι πιθανότητες είναι τουλάχιστον ένας από σας is-- ότι η συνήθεια, πάρα πολύ, αρκεί να πούμε, θα πρέπει να είναι σπασμένο. 

Τώρα, εγώ έτυχε να ανακαλύψουν, ως αποτέλεσμα από τη χρήση του λογισμικού, τα ακόλουθα. Ήμουν παραγγελία ενός βρώσιμου διακανονισμό, Αυτό το καλάθι με φρούτα, πρόσφατα. Και χτύπησα ειδικό πληκτρολόγιο μου συντόμευση για να συνδεθείτε στον δικτυακό τόπο. Και το λογισμικό ενεργοποιείται ένας pop-up που είπε, είσαι σίγουρος Θέλεις να αυτόματα υποβάλλει αυτό το όνομα χρήστη και τον κωδικό πρόσβασης; Επειδή η σύνδεση δεν είναι ασφαλής. 

Η σύνδεση δεν είναι χρησιμοποιώντας το HTTPS, για την ασφαλή, χρησιμοποιώντας το πρωτόκολλο που είναι γνωστό ως SSL, Secure Sockets Layer. Και πράγματι, αν κοιτάξετε η πάνω αριστερά αυτής της ιστοσελίδας, είναι ακριβώς www.ediblearrangements.com, δεν HTTPS, το οποίο δεν είναι τόσο καλή. 

Τώρα, ήμουν curious-- ίσως αυτό είναι απλά ένα σφάλμα στο λογισμικό. Σίγουρα, κάποια ιστοσελίδα, όπως Αυτό που πολλοί από εμάς γνωρίζουν είναι τουλάχιστον χρησιμοποιώντας κρυπτογράφηση ή τα URL HTTPS για να συνδεθείτε. Έτσι πήρα λίγο περίεργος σήμερα το πρωί. Και βγήκα δεξιότητες CS50 μου, Άνοιξα Chrome Επιθεωρητή. Δεν είναι ακόμη πολύ από μια δεξιότητα. Είναι απλά πατήστε το δεξί πληκτρολόγιο συντόμευσης για να ανοίξετε αυτό επάνω. Και εδώ είναι ένα μεγάλο παράθυρο του Επιθεωρητή του Chrome. 

Αλλά ό, τι ήταν στην πραγματικότητα μια λίγο τραγικό και γελοίο ήταν αυτές οι δύο γραμμές εδώ. Μέχρι και στην κορυφή, παρατηρήσετε το URL για να που το όνομα χρήστη και τον κωδικό πρόσβασής μου υποβλήθηκαν. Επιτρέψτε μου να μεγεθύνετε. Ήταν αυτό εδώ. Και όλα αυτά είναι Ταξινόμηση των πληκτικός, εκτός από το πράγμα σε όλη τη διαδρομή σε η αριστερά, η οποία ξεκινά με http: //. Και έτσι στη συνέχεια, OK, ίσως από όπου και αν απλά στέλνοντας το όνομα μου, η οποία είναι δεν είναι μια τέτοια μεγάλη υπόθεση. Ίσως τον κωδικό μου παίρνει σταλούν αργότερα. Αυτό θα είναι το είδος της μια ενδιαφέρουσα σχεδιαστική απόφαση. 

Αλλά Όχι. Αν στη συνέχεια να εξετάσουμε το αίτημα ωφέλιμο φορτίο, το όνομα χρήστη και τον κωδικό πρόσβασης Έχω sent-- και εγώ χλεύασε αυτά για την slide-- πραγματικά αποσταλεί στη σαφή. Έτσι, μπορείτε να πάτε σε αυτό το συγκεκριμένο δικτυακό τόπο και παραγγείλετε ένα εδώδιμο διακανονισμό, όπως αυτό, και μάλιστα, προφανώς, για όλα αυτά φορά που έχω την παραγγελία τους, το όνομα χρήστη και τον κωδικό πρόσβασής σας πρόκειται ολόκληρη στα καθαρά. Οπότε, ειλικρινά, αυτό είναι εντελώς απαράδεκτο. Και είναι τόσο ασήμαντο για να αποφευχθούν τα πράγματα όπως αυτό ως σχεδιαστής μιας ιστοσελίδας και ως προγραμματιστής μιας ιστοσελίδας. 

Αλλά το πακέτο εδώ για μας ως χρήστες των δικτυακών τόπων είναι απλά να εκτιμήσουν ότι όλα που χρειάζεται είναι ένα ηλίθιο σχέδιο απόφαση, αδικαιολόγητη απόφαση του σχεδιασμού, έτσι ώστε τώρα, αν γνωρίζετε τον κωδικό πρόσβασης μου είναι "Βυσσινί" για το θέμα αυτό ιστοσελίδα, έχετε πιθανώς μόλις πήρε σε ένα σωρό άλλες ιστοσελίδες που έχω τώρα. Και δεν υπάρχουν πολλά από μια άμυνα εναντίον ότι εκτός από αυτό που έκανε ο Τσανγκ σήμερα το πρωί. Πήγε σε βρώσιμα ρυθμίσεις, οι οποίες βρίσκεται κάτω από την οδό στο Cambridge, και φυσικά αγόρασαν αυτό για εμάς. Αυτό ήταν πολύ πιο ασφαλής από ό, τι τη χρήση της ιστοσελίδας σε αυτήν την περίπτωση. 

Όμως η λεπτομέρεια για να κρατήσει ένα μάτι έξω για είναι στην πραγματικότητα ό, τι είναι στο πρόγραμμα περιήγησης επάνω στην κορυφή εκεί. Αλλά ακόμα και αυτό μπορεί να είναι λίγο παραπλανητικό. Έτσι, μια άλλη ενδιαφέρουσα παράδειγμα και τον τρόπο της υπεράσπισης κατά this-- και στην πραγματικότητα, ας Μήπως ότι first-- το δρόμο της υπεράσπισης ενάντια σε αυτό είναι μια τεχνική ότι οι άνθρωποι της ασφάλειας θα καλέστε τον έλεγχο ταυτότητας δύο παραγόντων. 

Ξέρει κανείς ποια είναι η λύση σε προβλήματα όπως αυτό σημαίνει; Τι είναι η πιστοποίηση δύο παραγόντων; Ή με άλλα λόγια, πώς πολλοί από εσάς χρησιμοποιείτε αυτό; Εντάξει, έτσι, ένα ζευγάρι από τους ντροπαλούς ανθρώπους. Αλλά ναι. Είδα το χέρι σας ανεβαίνουν. Τι είναι η πιστοποίηση δύο παραγόντων; 

ΚΟΙΝΟ: Βασικά, εκτός από με την πληκτρολόγηση του κωδικού σας, έχετε επίσης μια δευτερεύουσα [δεν ακούγεται] αποστέλλονται μέσω μηνύματος κειμένου στο κινητό σας τηλέφωνο στο [δεν ακούγεται]. David J. Malan: Ακριβώς. Εκτός από κάποια μορφή πρωτογενούς της ταυτότητας, όπως ένα κωδικό πρόσβασης, θα σας ζητηθεί για ένα δευτερεύον παράγοντα, ο οποίος είναι τυπικά κάτι που έχετε φυσικά σε σας, αν μπορεί να είναι κάτι άλλο εντελώς. Και αυτό το πράγμα είναι συνήθως μια Κινητό τηλέφωνο αυτές τις μέρες, στο οποίο μπορείτε να πάρετε έστειλε ένα προσωρινό μήνυμα κειμένου που λέει "Προσωρινή κωδικό πρόσβασης σας είναι 12345." 

Έτσι, εκτός από μου κωδικό "βυσσινί", θα ήθελα επίσης πρέπει να πληκτρολογήσετε σε ό, τι η ιστοσελίδα μου έχει texted. Ή αν έχετε αυτό με ένα τράπεζα ή λογαριασμό των επενδύσεων, μερικές φορές έχετε αυτά λίγο dongles ότι πράγματι έχουν μια ψευδο-τυχαία γεννήτρια αριθμού ενσωματωμένο σε αυτά, αλλά τόσο η συσκευή όσο και η τράπεζα ξέρετε τι αρχική σπέρμα σου είναι ώστε να γνωρίζουν, ακόμη και καθώς η λίγο κώδικα για λίγο μπρελόκ σας βαδίζει μπροστά κάθε λεπτό ή δύο, την αλλαγή των τιμών, το ίδιο κάνει και ότι η αλλαγή τιμής στον server της τράπεζας έτσι ώστε να μπορούν ομοίως έλεγχο ταυτότητας σας, όχι μόνο με τον κωδικό πρόσβασής σας, αλλά με την εν λόγω προσωρινή κώδικα. Τώρα, μπορείτε να το κάνετε πραγματικά αυτό στο Google. Και ειλικρινά, αυτό είναι ένα καλή συνήθεια να μπει, ειδικά αν είστε με τη χρήση Gmail όλη την ώρα σε ένα πρόγραμμα περιήγησης. Αν πάτε σε αυτό το URL εδώ, το οποίο είναι σε τα πλακίδια σε απευθείας σύνδεση για σήμερα, και στη συνέχεια κάντε κλικ για επαλήθευση σε 2 βήματα, ίδιο πραγματικό πράγμα εκεί. Θα σας ζητηθεί να δώσει τους τον αριθμό του κινητού σας τηλεφώνου. Και στη συνέχεια, κάθε φορά που συνδέεστε σε Gmail, θα πρέπει όχι μόνο ζήτησε για τον κωδικό πρόσβασής σας, αλλά και για ένα λίγο κώδικα που αποστέλλεται στο τηλέφωνό σας προσωρινά. Και εφ 'όσον έχετε ενεργοποιήσει τα cookies, και εφ 'όσον δεν έχετε ρητά αποσυνδεθείτε, θα έχετε μόνο να κάνει μια φορά σε λίγο, όπως όταν κάθεστε σε ένα νέο υπολογιστή. 

Και οι ανοδικοί εδώ, πάρα πολύ, είναι, αν καθίσει σε κάποιο internet cafe στυλ υπολογιστή ή απλά μια υπολογιστή φίλου, ακόμη και Εάν αυτός ο φίλος κακόβουλα ή εν αγνοία τους έχει κάποιο καταγραφικό πληκτρολογίου εγκατεστημένο στον υπολογιστή του ή της, έτσι ώστε ό, τι τύπου που καταγράφεται, τουλάχιστον αυτό το δεύτερο στοιχείο, ότι προσωρινό κωδικό, είναι εφήμερη. Έτσι, ο ίδιος ή ο όποιος είναι διακυβεύεται ο υπολογιστής Δεν μπορώ να συνδεθώ σε σας, στη συνέχεια, ακόμη και αν όλα τα άλλα ήταν ευάλωτη ή ακόμα και χωρίς κρυπτογράφηση συνολικά. Το Facebook έχει αυτό, πάρα πολύ, με την εν λόγω διεύθυνση URL εδώ, όπου μπορείτε να κάνετε κλικ στο Είσοδος Εγκρίσεις. Έτσι, εδώ, πάρα πολύ, αν δεν το κάνετε θέλουν τους φίλους για να σπρώξει τους ανθρώπους, δεν θέλετε να σπρώχνει στο Facebook ή απόσπαση ενημερώσεις κατάστασης για εσάς, έλεγχος ταυτότητας δύο παραγόντων εδώ είναι πιθανώς ένα καλό πράγμα. Και έπειτα υπάρχει αυτό άλλη τεχνική συνολικά, μόνο τον έλεγχο, η οποία είναι ακόμη ένα καλό πράγμα για εμάς τους ανθρώπους, εάν δύο-παράγοντας αποδεικνύεται ενοχλητική, η οποία, Βεβαίως, μπορεί, ή δεν είναι μόνο διαθέσιμη σε κάποια ιστοσελίδα, ελάχιστα κρατώντας ένα μάτι για αν και πότε είστε συνδέεστε σε ιστοσελίδες, αν σας επιτρέπουν, είναι μια καλή τεχνική, πάρα πολύ. Έτσι, το Facebook σας δίνει επίσης αυτή Είσοδος ειδοποιήσεις διαθέτουν, σύμφωνα με την οποία οποτεδήποτε Facebook συνειδητοποιεί, hm, ο David έχει συνδεθείτε από κάποιο υπολογιστή ή το τηλέφωνο ότι δεν έχουμε δει ποτέ πριν από μια διεύθυνση IP που φαίνεται άγνωστο, ότι τουλάχιστον θα σας στείλουμε ένα e-mail σε οποιαδήποτε διεύθυνση ηλεκτρονικού ταχυδρομείου έχετε στο αρχείο, λέγοντας, αυτό δείχνει ύποπτο; Αν ναι, να αλλάξετε τον κωδικό πρόσβασής σας αμέσως. Κι έτσι εκεί, πάρα πολύ, ακριβώς τη συμπεριφορά του λογιστικού ελέγχου ακόμη και μετά έχετε πάει σε κίνδυνο, μπορεί τουλάχιστον περιορίσετε το παράθυρο κατά τη διάρκεια της που είστε ευάλωτοι. 

Εντάξει, οποιεσδήποτε ερωτήσεις σχετικά με αυτό το πράγμα μέχρι στιγμής; Σήμερα είναι η μέρα για να πάρετε όλα παράνοια σας επιβεβαιωθεί ούτε να απορριφθεί. Αυτό είναι ως επί το πλείστον επιβεβαιώνεται, δυστυχώς. Ναι; 

ΚΟΙΝΟ: [δεν ακούγεται] τηλέφωνο, Τι θα συμβεί αν σπάσει το τηλέφωνό σας, και τότε είναι πάντοτε δύσκολο να verify-- 

David J. Malan: Σωστό. 

ΚΟΙΝΟ: Ή αν είστε σε ένα διαφορετικό χώρα, και δεν θα αφήσει συνδεθείτε διότι [δεν ακούγεται]. David J. Malan: Απολύτως. Και ώστε αυτοί να έχουν το πρόσθετο το κόστος που συνεπάγεται. Υπάρχει πάντα αυτό το θέμα του trade-off, μετά από όλα. Και τότε, αν χάσετε το τηλέφωνό σας, αν χαλάσει, αν είστε στο εξωτερικό, ή απλά δεν έχουν σήμα, όπως ένα 3G ή LTE σήμα, δεν μπορεί στην πραγματικότητα να είναι σε θέση να επικυρωθούν. 

Έτσι και πάλι, αυτά τα δύο είναι το εμπόριο-offs. Και μερικές φορές, μπορεί να δημιουργήσει ένα πολλή δουλειά για σας, ως αποτέλεσμα. Αλλά αυτό εξαρτάται πραγματικά, τότε, για ποια είναι η αναμενόμενη τιμή για σας είναι κάτι ον διακυβεύεται συνολικά. 

Έτσι SSL, λοιπόν, είναι αυτή η τεχνική, η όλοι θεωρούμε γενικά ως δεδομένο ή να υποθέσουμε ότι υπάρχει, ακόμη και αν ότι δεν είναι σαφώς η περίπτωση. Και μπορείτε ακόμα να παραπλανήσουν οι άνθρωποι, αν και, ακόμη και με αυτό. Έτσι, εδώ είναι ένα παράδειγμα μιας τράπεζας. 

Αυτή είναι η Bank of America. Υπάρχει ένα ολόκληρο τσαμπί από αυτά στην πλατεία του Χάρβαρντ και πέρα. Και παρατηρώ ότι, στην κορυφή του η οθόνη, υπάρχει μια, πράγματι, HTTPS. Και είναι ακόμη πράσινο και υπογράμμισε για εμάς να δείχνουν ότι αυτό είναι πράγματι μια νόμιμα ασφαλή ιστοσελίδα, ή έτσι έχουμε εκπαιδευτεί να πιστεύουν. 

Τώρα, εκτός από αυτό, όμως, παρατηρήσετε ότι, αν εμείς μεγέθυνση, υπάρχει αυτό το πράγμα εδώ, όπου θα σας ζητηθεί να συνδεθείτε. Τι σημαίνει αυτό λουκέτο σημαίνει δεξιά εκεί, δίπλα στο όνομα χρήστη μου ζητήσει; Αυτό είναι αρκετά κοινό στις ιστοσελίδες, πάρα πολύ. Τι σημαίνει αυτό λουκέτο σημαίνει; Φαίνεσαι ξέρετε. 

ΚΟΙΝΟ: Δεν σημαίνει τίποτα. 

David J. Malan: Είναι δεν σημαίνει τίποτα. Αυτό σημαίνει ότι η Bank of America ξέρει πώς να γράψετε HTML με ετικέτες εικόνα, σωστά; Αυτό σημαίνει πραγματικά τίποτα, γιατί ακόμα εμείς, χρησιμοποιώντας την πρώτη ημέρα του βλέμμα μας σε HTML, μπορεί να κωδικοποιήσει έως μια σελίδα με ένα κόκκινο φόντο και μια εικόνα, σαν GIF ή οτιδήποτε, ότι συμβαίνει να μοιάζει με ένα λουκέτο. Και όμως, αυτό είναι εξαιρετικά κοινή σε ιστοσελίδες, γιατί έχουμε εκπαιδευτεί να αναλάβει ότι, OH, λουκέτο σημαίνει ασφαλή, όταν πραγματικά σημαίνει απλά ξέρεις HTML. 

Για παράδειγμα, πίσω στην ημέρα, θα μπορούσα μόλις βάλει αυτό στην ιστοσελίδα μου, υποστηρίζοντας ότι είναι ασφαλές, και ζητώντας, ουσιαστικά, για τα ονόματα χρήστη και τους κωδικούς πρόσβασης των ανθρώπων. Έτσι, εξετάζοντας το URL είναι τουλάχιστον μια καλύτερη ιδέα, γιατί αυτό είναι χτισμένο σε Chrome ή ό, τι το πρόγραμμα περιήγησης που χρησιμοποιείτε. Αλλά ακόμα και τότε, μερικές φορές τα πράγματα μπορεί να πάνε στραβά. Και στην πραγματικότητα, μπορεί να μην είναι πάντα δείτε HTTPS, πόσο μάλλον στο πράσινο. 

Έχετε κάποια από σας ποτέ δει μια οθόνη σαν αυτή; Μπορεί να έχουν, στην πραγματικότητα, νωρίτερα τον Οκτώβριο, όταν ξέχασα να πληρώσει για μας Πιστοποιητικό SSL, όπως λέγεται, και ψάχναμε σαν Αυτό για μια ώρα ή δύο. Έτσι, έχετε δει πιθανώς τα πράγματα όπως αυτό, με μια απεργία-μέσω, σαν μια κόκκινη γραμμή, μέσω το πρωτόκολλο στο URL ή κάποιο είδος της οθόνης που είναι τουλάχιστον θα επίπληξη για την προσπάθεια να προχωρήσει περαιτέρω. Και εδώ η Google προσκαλεί μπορείτε να πάτε πίσω στην ασφάλεια. 

Τώρα, στην περίπτωση αυτή, αυτό σημαίνει ότι μόλις το πιστοποιητικό SSL που χρησιμοποιούσαν, τα μεγάλα, μαθηματικά χρήσιμα τηλέφωνα που συνδέονται με το διακομιστή CS50 είναι, δεν ήταν πλέον έγκυρη. Και στην πραγματικότητα, μπορούμε να προσομοιώσει αυτό, όπως μπορείτε για το laptop σας. Αν πάω στο Chrome εδώ, και ας πάμε στο facebook.com, και μοιάζει με αυτό είναι ασφαλές. Αλλά επιτρέψτε μου να πάει μπροστά τώρα και κάντε κλικ στο λουκέτο εδώ. 

Και επιτρέψτε μου να πάω σε σύνδεση, Πληροφορίες πιστοποιητικού. Και πράγματι, τι θα δείτε εδώ είναι ένα μάτσο των στοιχείων χαμηλότερου επιπέδου για που facebook.com πραγματικά είναι. Φαίνεται ότι έχουν καταβάλει χρήματα για να μια εταιρεία που ονομάζεται ίσως DigiCert Υψηλή Αξιοπιστίας που έχει υποσχεθεί να πω το υπόλοιπο του κόσμου ότι, εάν ένα πρόγραμμα περιήγησης βλέπει ποτέ ένα certificate-- μπορείτε να σκεφτείτε του κυριολεκτικά ως ένα πιστοποιητικό που Φαίνεται ότι το κιτς πράγμα στην κορυφή left-- τότε facebook.com είναι αυτοί που λένε είναι, γιατί όλο αυτό το διάστημα, όταν μπορείτε να επισκεφθείτε μια ιστοσελίδα, όπως cs50.harvard.edu ή facebook.com ή gmail.com που χρησιμοποιούν HTTPS URLs, πίσω από τις σκηνές, υπάρχει αυτό το είδος της συναλλαγής συμβαίνει αυτόματα για εσάς, σύμφωνα με την οποία facebook.com, στην περίπτωση αυτή, στέλνει στον browser σας της λεγόμενο πιστοποιητικό SSL, ή μάλλον, δημόσιο κλειδί του, και στη συνέχεια το πρόγραμμα περιήγησής σας χρησιμοποιεί αυτό το δημόσιο κλειδί στη συνέχεια να στείλει κρυπτογραφημένα κυκλοφορίας προς και από αυτό. 

Αλλά υπάρχει όλη αυτή η ιεραρχία στον κόσμο των επιχειρήσεων ότι θα πληρώσει τα χρήματα για το ποιος θα τότε καταθέσει, σε ένα ψηφιακό περιβάλλον, ότι είστε πράγματι facebook.com ή διακομιστής σας είναι πράγματι cs50.harvard.edu. Και χτισμένο σε προγράμματα περιήγησης, όπως Chrome και IE και Firefox, είναι μια λίστα όλων εκείνων λεγόμενη αρχές πιστοποιητικό που έχουν εγκριθεί από Η Microsoft και η Google και το Mozilla για να επιβεβαιώσει ή να διαψεύσει ότι facebook.com είναι αυτός που λέει ότι είναι. Αλλά η σύλληψη είναι ότι Αυτά τα πράγματα δεν λήγουν. Στην πραγματικότητα, το Facebook μοιάζει που λήγει τον προσεχή Οκτώβριο, το 2015. 

Έτσι μπορούμε να προσομοιώνουν πραγματικά αυτό αν μου πάει στο Mac μου να System Preferences μου, και πάω σε ημερομηνία και ώρα, και Έχω πάει σε ημερομηνία και ώρα εδώ, και μπορώ να ξεκλειδώσετε αυτή τη here-- ευτυχώς, δεν είχαμε αποκαλύψει ένα κωδικό αυτό time-- και τώρα πάω κάτω για να καταργήσετε την επιλογή αυτή. Και ας actually-- ουπς, αυτό είναι δεν είναι τόσο ενδιαφέρον όσο το κάνετε αυτό. Είμαστε κυριολεκτικά στο μέλλον, τώρα, πράγμα που σημαίνει ότι αυτό είναι ό, τι το 2020 είναι παρόμοια. Αν τώρα reload την page-- ας το κάνουμε στο Ingognito mode-- αν φορτώσετε ξανά τη σελίδα, εκεί θα πάμε. 

Μέχρι τώρα, ο υπολογιστής μου σκέφτεται είναι το 2020, αλλά ο browser μου ξέρει ότι αυτό το πιστοποιητικό από Facebook λήγει, φυσικά, το 2015. Γι 'αυτό είναι που μου δίνετε αυτή την κόκκινο μήνυμα. Τώρα, ευτυχώς, browsers όπως το Chrome έχει στην πραγματικότητα κατέστησε πολύ δύσκολο να προχωρήσει, ωστόσο. Μπορούν πράγματι να θέλω να πάει πίσω στην ασφάλεια. 

Αν κάνω κλικ εδώ για Advance, είναι Θα μου πείτε κάποιες περισσότερες λεπτομέρειες. Και αν θέλω πραγματικά να προχωρήσει, θα σας αφήσει Θέλω να πάω στο facebook.com, το οποίο είναι, και πάλι, ανασφαλή, σε ποιο σημείο Θα δείτε την αρχική σελίδα του Facebook, όπως αυτό. Στη συνέχεια, όμως και άλλα πράγματα φαίνεται να είναι το σπάσιμο. Τι είναι πιθανώς το σπάσιμο σε αυτό το σημείο; ΚΟΙΝΟ: τη JavaScript. David J. Malan: Όπως η JavaScripts ή / και CSS αρχεία είναι ομοίως αντιμετωπίζουν το σφάλμα. Έτσι, αυτό είναι απλά μια κακή κατάσταση συνολικά. Αλλά το θέμα εδώ είναι ότι τουλάχιστον Facebook όντως έχουν δυνατότητα SSL για τους κεντρικούς υπολογιστές τους, όπως πολλές ιστοσελίδες, κάνει, αλλά όχι αναγκαστικά όλων. 

Αλλά αυτό δεν είναι μόνο του το πακέτο εδώ. Βγάζει ότι ακόμη SSL έχει αποδειχθεί να είναι ανασφαλής με κάποιο τρόπο. Έτσι είμαι το είδος του υπαινίχθηκε ότι το SSL, καλό. Ψάξτε για τις διευθύνσεις URL HTTPS, και η ζωή είναι καλά, γιατί όλα της κίνησης HTTP σας και κεφαλίδες και περιεχομένου είναι κρυπτογραφημένη. 

Κανείς δεν μπορεί να το παρακολουθήσει στο μέση, με εξαίρεση το λεγόμενο άνθρωπος στη μέση. Αυτή είναι μια γενική τεχνική στον κόσμο της ασφάλειας γνωστή ως μια επίθεση man-in-the-middle. Ας υποθέσουμε ότι είστε αυτό το μικρό laptop εδώ στα αριστερά, και ας υποθέσουμε ότι προσπαθείτε να επισκεφτείτε ένας διακομιστής εκεί στα δεξιά, όπως το facebook.com. 

Αλλά ας υποθέσουμε ότι, σε ανάμεσα σε εσάς και το Facebook, Είναι ένα σωρό άλλους servers και εξοπλισμό, όπως διακόπτες και δρομολογητές, Διακομιστές DNS, διακομιστές DHCP, καμία από τις οποίες έχουμε τον έλεγχο. Θα μπορούσε να ελέγχεται από Starbucks ή του Χάρβαρντ ή Comcast ή τα παρόμοια. Λοιπόν, ας υποθέσουμε ότι κάποιος κακόβουλα, στο δίκτυό σας, ανάμεσα σε εσάς και το Facebook, είναι σε θέση να σας πω ότι, ξέρετε τι, η διεύθυνση IP του Το Facebook όμως δεν είναι αυτό που νομίζετε ότι είναι. Είναι αυτό το IP αντί. 

Και έτσι το πρόγραμμα περιήγησής σας είναι παρασυρθείτε ώστε να ζητούν κυκλοφορίας από άλλο υπολογιστή εντελώς. Λοιπόν, ας υποθέσουμε ότι ο υπολογιστής απλά μοιάζει καθόλου της κυκλοφορίας που ζητάτε από Facebook και όλες τις ιστοσελίδες ότι είστε ζητώντας από το Facebook. Και κάθε φορά που βλέπει στην κυκλοφορία σας μια διεύθυνση URL που ξεκινά με https, είναι δυναμικά, για το πετάξει, να ξαναγράφει το HTTP. Και κάθε φορά που βλέπει μια τοποθεσία κεφαλίδα, του παχέος εντέρου τοποθεσία, όπως εμείς χρησιμοποιούμε για να ανακατευθύνει ο χρήστης, αυτοί, επίσης, μπορεί να αλλάξει από αυτόν τον άνθρωπο στην η μέση από το HTTPS σε HTTP. 

Έτσι, ακόμα κι αν εσείς θα μπορούσε Νομίζεις ότι είσαι στην πραγματική Facebook, δεν είναι ότι σκληρά για μια αντίπαλος με φυσική πρόσβαση στο δίκτυό σας απλά επιστρέψει σελίδες να σας πω ότι μοιάζει με το Gmail, ότι μοιάζει με το Facebook, και μάλιστα η διεύθυνση URL είναι ταυτόσημες, επειδή είναι προσποιείται ότι έχει το ίδιο όνομα κεντρικού υπολογιστή λόγω κάποιας εκμετάλλευσης του DNS ή κάποιο άλλο σύστημα, όπως αυτό. Και το αποτέλεσμα, τότε, είναι ότι εμείς οι άνθρωποι θα μπορούσαν μόνο συνειδητοποιήσουμε ότι, εντάξει, αυτό μοιάζει με Gmail ή τουλάχιστον η παλαιότερη έκδοση, όπως είναι αυτή η διαφάνεια από μια παλαιότερη παρουσίαση. Αλλά μοιάζει this-- http://www.google.com. 

Έτσι και εδώ, η πραγματικότητα είναι ότι πόσοι από εσάς, όταν θα πάτε στο Facebook ή το Gmail ή οποιαδήποτε ιστοσελίδα και να ξέρετε ένα μικρό κάτι για το SSL, πόσοι από εσάς σωματικά πληκτρολογήστε https: // και στη συνέχεια την ιστοσελίδα όνομα, Enter. Οι περισσότεροι από εμάς απλά πληκτρολογήστε, όπως, CS50, να πατήσετε το Enter, ή F-Α για το Facebook και πατήστε Enter, και αφήστε το auto-complete. Αλλά πίσω από τις σκηνές, αν μπορείτε να παρακολουθήσετε την κυκλοφορία HTTP σας, υπάρχει πιθανώς ένα σωρό του εν λόγω κεφαλίδες τοποθεσίας που σας στέλνει μηνύματα από Facebook για να www.facebook.com να https://www.facebook.com. 

Έτσι, αυτό είναι μία ή περισσότερες συναλλαγές HTTP όπου οι πληροφορίες σας είναι εντελώς αποστέλλονται στο σαφές, δεν καμία κρυπτογράφηση. Τώρα, αυτό δεν θα μπορούσε να είναι μια τέτοια μεγάλη ασχοληθεί αν το μόνο που προσπαθούμε να κάνουμε έχει πρόσβαση στην αρχική σελίδα, δεν είστε στέλνοντας το όνομα χρήστη και τον κωδικό πρόσβασής σας. Αλλά τι είναι αυτό κάτω η κουκούλα, ιδιαίτερα για την PHP με βάση ιστοσελίδες που είναι επίσης αποστέλλονται πίσω και μπρος, όταν μπορείτε να επισκεφθείτε κάποια ιστοσελίδα, αν που χρησιμοποιεί το δικτυακό τόπο, ας πούμε, PHP και εκτελεί λειτουργίες όπως pset7; Τι είχε σταλεί πίσω και μπρος σε κεφαλίδες HTTP σας που σας έδωσε πρόσβαση σε αυτό το όμορφο χρήσιμο σούπερ παγκόσμια στην PHP; 

ΚΟΙΝΟ: Cookies. 

David J. Malan: Μπισκότα, Συγκεκριμένα, η PHP sess αναγνωριστικό cookie. Έτσι, υπενθυμίζουν, αν πάμε σε, ας πούμε, cs50.harvard.edu και πάλι, αλλά αυτή τη φορά, ας ανοίξει η Καρτέλα Network, και τώρα, εδώ, ας κυριολεκτικά πήγαινε να http://cs50.harvard.edu και στη συνέχεια πατήστε Enter. Και στη συνέχεια να εξετάσουμε την οθόνη προς τα κάτω εδώ. Παρατηρήστε ότι μπορούμε πράγματι πήρε πίσω 301 μετακόμισε μόνιμα μήνυμα, το οποίο σημαίνει ότι υπάρχει μια κεφαλίδα θέση εδώ, η οποία ανακατευθύνεται πλέον μου HTTPS. 

Αλλά η σύλληψη είναι ότι, αν είχα ήδη ένα cookie σφραγίδα στο χέρι μου σχεδόν, όπως έχουμε συζητήσει πριν, και Έχω το ανθρώπινο είδος εν αγνοία τους Απλά επισκεφθείτε την ανασφάλεια έκδοση και το πρόγραμμα περιήγησης μου παίρνει για τον εαυτό της για να δείξει ότι η σφραγίδα στο χέρι για το πρώτο αίτημα, το οποίο είναι μέσω HTTP, κάθε άνθρωπος στη μέση, κάθε αντίπαλος στη μέση, μπορεί θεωρητικά να δείτε μόνο αυτές οι κεφαλίδες HTTP, απλά όπως ψάχνουμε σε αυτούς εδώ. Είναι μόνο όταν είστε μιλώντας σε ένα HTTPS URL έχει ότι η ίδια η σφραγίδα χέρι να πάρει κρυπτογραφημένα, a la Καίσαρα ή Vigenere, αλλά με ένα φανταχτερό αλγόριθμο συνολικά. Έτσι, εδώ, πάρα πολύ, ακόμη και αν ιστοσελίδες χρησιμοποιούν HTTPS, εμείς οι άνθρωποι έχουν κλιματισμό, χάρη στην αυτόματη συμπλήρωση και άλλες τεχνικές, να μην σκεφτείτε ακόμη και για οι πιθανές επιπτώσεις. Τώρα, υπάρχουν τρόποι γύρω από αυτό. Για παράδειγμα, πολλοί ιστοσελίδες μπορεί να ρυθμιστεί έτσι ώστε, τη στιγμή που έχετε αυτό το χέρι σφραγίδα, μπορείτε να πείτε το πρόγραμμα περιήγησης, Αυτή η σφραγίδα χέρι είναι μόνο για συνδέσεις SSL. Το πρόγραμμα περιήγησης δεν πρέπει να παρουσιάζει σε μένα αν δεν είναι πάνω από SSL. Αλλά πολλές ιστοσελίδες μην ασχοληθείτε με αυτό. Και πολλές ιστοσελίδες προφανώς Δεν χρειάζεται καν στον κόπο με SSL καθόλου. 

Έτσι, για περισσότερες πληροφορίες σχετικά με αυτό, δεν υπάρχει στην πραγματικότητα ακόμη περισσότερο βρωμιά σε αυτή την παρουσίαση ότι ένας συνάδελφος έδωσε στο λεγόμενο μαύρο καπέλο συνεδρίου, πριν από μερικά χρόνια, όπου υπάρχουν ακόμα και άλλα κακόβουλο κόλπα άνθρωποι έχουν χρησιμοποιηθεί. Θα θυμάστε ίσως αυτό έννοια της favicon, η οποία Είναι σαν ένα μικρό λογότυπο που είναι συχνά στο παράθυρο του browser. Λοιπόν, τι ήταν κοινά μεταξύ τους κακούς είναι να κάνουν fab εικονίδια που μοιάζουν με τι; ΚΟΙΝΟ: [δεν ακούγεται]. David J. Malan: Πείτε ξανά; ΚΟΙΝΟ: Οι ιστοσελίδες. David J. Malan: Δεν είναι μια ιστοσελίδα. Έτσι favicon, μικροσκοπικό εικονίδιο. Ποιο θα είναι το πιο κακόβουλο, χειραγώγηση πράγμα θα μπορούσατε να κάνετε την ιστοσελίδα σας προεπιλεγμένο εικονίδιο μοιάζει; ΚΟΙΝΟ: Ένα πράσινο κλειδαριά. David J. Malan: Τι είναι αυτό; ΚΟΙΝΟ: Μια μικρή πράσινη κλειδαριά. David J. Malan: Όπως ένα πράσινο κλειδαριά, ακριβώς. Έτσι μπορείτε να έχετε αυτή την αισθητική του ένα μικρό πράσινο λουκέτο, υπαινίχθηκε στον κόσμο, OH, είμαστε εξασφάλιση, όταν, και πάλι, το μόνο που σημαίνει είναι ότι γνωρίζετε κάποια HTML. Έτσι πειρατεία συνόδου αναφέρεται σε ακριβώς αυτό. Αν έχετε κάποιον που είναι το είδος του sniffing των ερτζιανών κυμάτων σε αυτό το δωμάτιο εδώ ή να έχει φυσική πρόσβαση σε ένα δίκτυο και μπορεί να δει τα cookies σας, αυτός ή αυτή μπορεί να αρπάξει ότι PHP sess αναγνωριστικό cookie. Και στη συνέχεια, αν είναι καταλαβαίνω αρκετά για να γνωρίζουμε πώς να στείλετε αυτό το cookie για τη δική τους χέρι σφραγίδα απλά αντιγράφοντας αυτήν την τιμή και στέλνοντας τις κεφαλίδες HTTP, κάποιος θα μπορούσε πολύ εύκολα συνδεθείτε σε οποιοδήποτε από τα Facebook λογαριασμούς ή λογαριασμούς Gmail ή λογαριασμούς Twitter που είναι εδώ, ανοιχτό στην αίθουσα, αν δεν χρησιμοποιείτε SSL και εάν η ιστοσελίδα είναι δεν χρησιμοποιούν σωστά SSL. 

Ας μετάβαση σε ένα άλλο. Έτσι, μια άλλη αληθινή ιστορία. Και αυτό ακριβώς έσπασε στο Ειδήσεις μια εβδομάδα ή δύο πριν. Verizon έχει κάνει ένα πολύ κακό πράγμα, και όσο καλύτερα οι άνθρωποι μπορούν να πουν, τουλάχιστον από το 2012, σύμφωνα με την οποία, όταν έχετε πρόσβαση σε ιστοσελίδες μέσω της Verizon κινητό τηλέφωνο, ανεξάρτητα από τον κατασκευαστή είναι, υπήρξαν αυθάδεια, Καθώς η ιστορία πηγαίνει, έγχυση σε όλα HTTP σας κυκλοφορία δική τους κεφαλίδα HTTP. Και ότι κεφαλίδα εμφάνιση όπως this-- X-UIDH. UID είναι σαν ένα μοναδικό αναγνωριστικό ή κωδικό χρήστη. Και το Χ σημαίνει ακριβώς αυτό είναι ένα έθιμο header ότι δεν είναι πρότυπο. 

Αλλά τι σημαίνει αυτό είναι ότι, αν έχω σηκώσει, για παράδειγμα, οποιαδήποτε ιστοσελίδα στο τηλέφωνό μου here-- και είμαι με τη χρήση Verizon ως carrier-- μου ακόμη και αν ο φυλλομετρητής μου δεν θα μπορούσε να στείλει αυτό το HTTP header, Verizon, το συντομότερο ως το σήμα φτάνει τους πύργος κινητό τηλέφωνο κάπου, υπήρξε για κάποιο χρονικό διάστημα την έγχυση αυτό επικεφαλίδα σε όλα της κίνησης HTTP μας. Γιατί το κάνουν αυτό; Προφανώς για λόγους παρακολούθησης, για διαφημιστικούς λόγους. 

Αλλά η βλακώδης απόφαση σχεδιασμού εδώ είναι ότι μια κεφαλίδα HTTP, όπως εσείς γνωρίζετε από pset6, λαμβάνεται από κάθε web server ότι είστε ζητώντας την κυκλοφορία του. Έτσι, όλο αυτό το διάστημα, εάν έχετε να επισκεφτείτε Facebook ή το Gmail ή οποιαδήποτε ιστοσελίδα ότι δεν χρησιμοποιεί το SSL όλη την time-- και στην πραγματικότητα, εκείνοι δύο ευτυχώς τώρα do-- αλλά και άλλες ιστοσελίδες που δεν χρησιμοποιούν SSL όλη την ώρα, Verizon έχει ουσιαστικά έχουν φύτευση, δια της βίας, μια σφραγίδα χέρι σε όλους μας χέρια που ακόμη δεν βλέπουμε, αλλά μάλλον, τα τέλη ιστοσελίδες κάνουν. Και έτσι δεν ήταν ότι δύσκολο για οποιονδήποτε στο διαδίκτυο τρέχει ένα web server για να συνειδητοποιούν, Ooh, αυτό είναι ο David, ή, Ooh, αυτό είναι Davin, ακόμη και αν είμαστε αυστηρή σχετικά με την εκκαθάριση των cookies μας, γιατί δεν προέρχεται από εμάς. Είναι που προέρχονται από τον φορέα. 

Θα κάνετε μια αναζήτηση για τον αριθμό τηλεφώνου σας και στη συνέχεια να πω, ω, αυτό είναι ο David. Επιτρέψτε μου να εισφέρει ένα μοναδικό αναγνωριστικό έτσι ότι οι διαφημιστές μας ή όποιος μπορεί να παρακολουθείτε αυτό. Έτσι, αυτό είναι πραγματικά πολύ, πολύ, πολύ κακό και τρομακτικό. Και θα ήθελα να σας ενθαρρύνω να ρίξτε μια ματιά, για παράδειγμα, σε αυτό το URL, το οποίο θα πρέπει να αποποιούνται Προσπάθησα πραγματικά αυτό σήμερα το πρωί. Έγραψα ένα μικρό σενάριο, το βάζουμε σε αυτό το URL, επισκέφθηκε με δική μου Verizon Κινητό τηλέφωνο μετά την ενεργοποίηση Wi-Fi off. Έτσι θα πρέπει να ενεργοποιήσετε το Wi-Fi στα ανοικτά έτσι ώστε να είστε με τη χρήση 3G ή LTE ή τα παρόμοια. Και τότε, αν επισκεφτείτε Αυτή η διεύθυνση URL, όλο αυτό το σενάριο κάνει για σας παιδιά, αν θα θέλατε να παίξετε, είναι το φτύσει τι κεφαλίδες HTTP το τηλέφωνό σας στέλνει στον server μας. Και στην πραγματικότητα, για να είμαστε δίκαιοι, έκανε Δεν βλέπετε αυτό σήμερα το πρωί, η οποία με κάνει να πιστεύουν ότι είτε η τοπική πύργος κινητό τηλέφωνο που ήταν συνδεδεμένο με ή οτιδήποτε δεν το κάνει, ή θα έχουμε υπαναχώρησε για να γίνει αυτό προσωρινά. Αλλά για περισσότερες πληροφορίες, να κατευθυνθείτε σε αυτό το URL εδώ. 

Και τώρα να this-- αυτό κόμικ μπορούσε να έχει νόημα. Όχι; ΟΚ. Εντάξει. Αυτός πέθανε. Εντάξει. 

Έτσι, ας ρίξουμε μια ματιά σε μερικά από πιο επιθέσεις, έστω και μόνο για να αυξηθεί η ευαισθητοποίηση των και στη συνέχεια να προσφέρουν ένα ζευγάρι πιθανών λύσεων έτσι ώστε να είστε ακόμα πιο προσεκτικοί. Αυτό και μόνο μιλήσαμε για την άλλη ημέρα, αλλά δεν είχε δώσει ένα όνομα σε αυτό. Είναι μια cross-site αίτημα πλαστογραφία, η οποία είναι υπερβολικά φανταχτερό τρόπο λέγοντας σας ξεγελάσουν ένα χρήστη να κάνει κλικ στο μια διεύθυνση URL, όπως αυτό, το οποίο τους κόλπα σε κάποια συμπεριφορά που δεν είχε την πρόθεση. 

Σε αυτήν την περίπτωση, αυτό φαίνεται να προσπαθούν να με ξεγελάσουν σε πώληση των μετοχών μου από το Google. Και αυτό θα πετύχει, αν Εγώ, ο προγραμματιστής της pset7, δεν έχουν κάνει τι; Ή μάλλον, γενικότερα, σε ό, τι περιπτώσεις είμαι ευάλωτο σε μια επίθεση αν κάποιος άλλος χρήστης κόλπα κλικ σε μια διεύθυνση URL, όπως αυτό; Ναι; 

ΚΟΙΝΟ: Δεν διακρίνουν μεταξύ GET και POST. 

David J. Malan: Καλή. Αν εμείς δεν διακρίνουμε μεταξύ GET και POST, και μάλιστα, αν επιτρέψουμε GET για την πώληση των πραγμάτων, Σας καλούμε αυτό το είδος της επίθεσης. Αλλά θα μπορούσαμε ακόμα να μετριάσει κάπως. Και εγώ σχολίασε, νομίζω, την περασμένη εβδομάδα ότι η Amazon τουλάχιστον προσπαθεί να μετριάσει αυτό με μια τεχνική αυτό είναι αρκετά απλή. Τι θα έκανε ένα έξυπνο πράγμα να κάνουμε είναι στον server σας, και όχι μόνο τυφλά πώληση όποια και αν είναι το σύμβολο τους τύπους χρηστών στο; ΚΟΙΝΟ: Επιβεβαίωση του είδους; David J. Malan: Μια οθόνη επιβεβαίωσης, κάτι που περιλαμβάνει την ανθρώπινη αλληλεπίδραση έτσι ώστε να είμαι αναγκασμένος να πραγματοποιήσετε την κλήση κρίση, ακόμη και αν έχω αφελώς κλικ ένα σύνδεσμο που μοιάζει με αυτό και με οδήγησε στην οθόνη κυττάρων, σε τουλάχιστον μου ζήτησε να επιβεβαιώσει ή να διαψεύσει. Αλλά δεν είναι μια ασυνήθιστη επίθεση, ειδικά στο λεγόμενο phishing ή το spam-όπως επιθέσεις. 

Τώρα, αυτό είναι λίγο πιο λεπτή. Αυτό είναι ένα cross-site scripting επίθεση. Και αυτό θα συμβεί αν σας ιστοσελίδα δεν χρησιμοποιεί το ισοδύναμο των htmlspecialchars. Και αυτό λαμβάνοντας εισόδου του χρήστη και μόνο τυφλά την έγχυσή του σε μια ιστοσελίδα, όπως με την εκτύπωση ή ηχώ, with-- again-- έξω καλώντας κάτι όπως htmlspecialchars. 

Έτσι, ας υποθέσουμε ότι η ιστοσελίδα στην ερώτημα είναι vulnerable.com. Και ας υποθέσουμε ότι δέχεται μια παράμετρο που ονομάζεται q. Κοιτάξτε τι μπορεί να συμβεί αν πραγματικά, κακός, πληκτρολογήσετε ή να ξεγελάσουν ένα χρήστη επίσκεψη σε ένα URL που μοιάζει με this-- q = open tag σενάριο, έκλεισε σενάριο ετικέτα. Και πάλι, υποθέτω ότι vulnerable.com δεν είναι πρόκειται να γυρίσει επικίνδυνη χαρακτήρες όπως παρενθέσεις σε HTML οντότητες, η σύμβολο, L-Τ, ερωτηματικό πράγμα ότι μπορεί να έχετε δει πριν. 

Αλλά τι είναι το σενάριο ή κώδικα JavaScript Προσπαθώ να ξεγελάσουν μια χρήστη σε εκτέλεση; Λοιπόν, document.location αναφέρεται με την τρέχουσα διεύθυνση του browser μου. Έτσι, αν κάνω document.location =, Αυτό μου επιτρέπει να ανακατευθύνει τον χρήστη σε JavaScript σε άλλη ιστοσελίδα. Είναι σαν PHP λειτουργία μας ανακατεύθυνση, αλλά γίνεται σε JavaScript. 

Όταν προσπαθώ να στείλετε το χρήστη; Λοιπόν, προφανώς, badguy.com/log.php, η οποία είναι μερικές σενάριο, προφανώς, ο κακός έγραψε, ότι παίρνει μια παράμετρο που ονομάζεται cookie. 

Και ειδοποίηση, τι μπορώ να κάνω φαίνεται να συνενώσει στο τέλος του εν λόγω σύμβολο της ισότητας; Λοιπόν, κάτι που λέει document.cookie. Δεν έχουμε μιλήσει για αυτό. Αλλά αποδεικνύεται, σε JavaScript, ακριβώς όπως σε PHP, μπορείτε να αποκτήσετε πρόσβαση σε όλα τα cookies ότι το πρόγραμμα περιήγησής σας χρησιμοποιεί πραγματικά. 

Έτσι, το αποτέλεσμα αυτής της ενός γραμμή κώδικα, εάν ένας χρήστης ξεγελιέται και κάνοντας κλικ σε αυτό το σύνδεσμο και η ιστοσελίδα vulnerable.com δεν ξεφύγουν με htmlspecialchars, είναι ότι έχετε μόνο αποτελεσματικά ανεβάσει στο log.php όλα τα cookies σας. Και αυτό δεν είναι πάντα τόσο προβληματική, εκτός εάν ένα από αυτά τα cookies είναι το ID της συνεδρίας σας, σας λεγόμενη σφραγίδα χέρι, το οποίο σημαίνει badguy.com μπορεί να κάνει τη δική του ή της Αιτήσεις HTTP, στέλνοντας το ίδιο χέρι σφραγίδα, ότι η ίδια κεφαλίδα μπισκότων, και να συνδεθείτε σε οποιονδήποτε ιστότοπο είχατε επισκεφτεί, η οποία σε Αυτή η υπόθεση είναι vulnerable.com. Είναι μια cross-site scripting επίθεση με την έννοια ότι είστε το είδος της εξαπάτηση μία ιστοσελίδα στην αφήγηση μια άλλη ιστοσελίδα για κάποιο πληροφορίες δεν θα πρέπει, στην πραγματικότητα, να έχουν πρόσβαση. 

Εντάξει, ετοιμαστείτε για μια άλλα ανησυχητική λεπτομέρεια; Εντάξει, ο κόσμος είναι ένας τρομακτικό μέρος, νόμιμα έτσι. Εδώ είναι ένα απλό Javascript για παράδειγμα, που είναι στον πηγαίο κώδικα του σήμερα ονομάζεται geolocation 0 και 1. Και υπάρχει ένα ζευγάρι περάσματα σε απευθείας σύνδεση για αυτό. 

Και αυτό δεν το εξής, αν έχω να ανοίξει αυτή την ιστοσελίδα στο Chrome. Κάνει την πρώτη τίποτα. Εντάξει, θα προσπαθήσουμε ξανά. Ω. Όχι, θα πρέπει να κάνουμε κάτι. Εντάξει, να σταθεί με. 

Ας προσπαθήσουμε άλλη μία φορά. [Δεν ακούγεται] Αχ, εντάξει, δεν είμαι σίγουρος γιατί the-- ω, η συσκευή πιθανότατα έχασε διαδίκτυο πρόσβαση για κάποιο λόγο. Εντάξει, έτσι συμβαίνει σε μένα, πάρα πολύ. 

Εντάξει, έτσι ειδοποίηση τι συμβαίνει εδώ. Αυτό το αινιγματικό μέλλον διεύθυνση URL, το οποίο είναι μόνο ένας από τους σέρβερ CS50, θέλει να χρησιμοποιήσει για τον υπολογιστή μου τοποθεσία, όπως φυσικά αυτό σημαίνει. Και αν, πράγματι, κάνω κλικ στο Αφήστε, ας δούμε τι θα συμβεί. Προφανώς, αυτό είναι το τρέχον γεωγραφικό πλάτος μου και διαμήκη συντονίζει τα κάτω σε ένα αρκετά καταριέται καλό ψήφισμα. 

Έτσι, πώς να πάρω σε αυτό; Πώς λειτουργεί αυτό το δικτυακό τόπο, όπως ο εξυπηρετητής CS50, γνωρίζει φυσικά όπου στον κόσμο Είμαι, πόσο μάλλον με αυτή την ακρίβεια. Λοιπόν, αποδεικνύεται out-- ας εξετάσουμε source-- της σελίδας ότι εδώ είναι ένα μάτσο HTML στο το κάτω μέρος που έχει την πρώτη this-- onload σώματος = "γεωγραφική θέση" - απλά μια λειτουργία που έγραψα. 

Και εγώ λέω, για τη φόρτωση η σελίδα, τη γεωγραφική θέση κλήση. Και τότε δεν υπάρχει τίποτα στο σώμα, επειδή στο κεφάλι της σελίδας, παρατηρήσετε τι έχω εδώ. Εδώ είναι η λειτουργία γεωγραφική θέση μου. Και αυτό είναι μόνο κάποια λάθος checking-- Εάν ο τύπος του navigator.geolocation δεν είναι απροσδιόριστη. Έτσι το JavaScript έχει αυτό μηχανισμός όπου μπορείτε μπορεί να πει, ποια είναι η τύπο της μεταβλητής αυτής; Και αν δεν είναι undefined-- αυτό σημαίνει ότι είναι κάποια value-- Πάω να καλέσετε navigator.geolocation.getCurrentPosition και στη συνέχεια επανάκλησης. 

Τι είναι αυτό; Έτσι, σε γενικές γραμμές, τι είναι μια επανάκλησης, ακριβώς για να είναι σαφές; Μπορεί να έχουν συναντήσει Αυτό ήδη pset8. Τηλεφωνική είναι ένα γενικό όρος για να κάνει τι; Αισθάνεται όπως ακριβώς μου σήμερα. ΚΟΙΝΟ: [δεν ακούγεται]. David J. Malan: Ακριβώς, μια λειτουργία που θα πρέπει να ονομάζεται μόνο όταν έχουμε δεδομένα. Η παρούσα πρόσκληση στον browser, να πάρει ρεύμα μου θέση, θα μπορούσε να λάβει ένα χιλιοστό του δευτερολέπτου, θα μπορούσε να λάβει ένα λεπτό. Τι σημαίνει αυτό λέμε η μέθοδος get getCurrentPosition, καλέσετε αυτή τη λειτουργία επανάκλησης, η οποία κυριολεκτικά ονομάζεται επανάκλησης για λόγους απλότητας, η οποία προφανώς είναι αυτό εδώ. 

Και ο τρόπος getCurrentPosition λειτουργεί, απλά με την ανάγνωση των εγγράφων για κάποιο κώδικα JavaScript σε απευθείας σύνδεση, είναι ότι απαιτεί ότι η λεγόμενη επανάκλησης λειτουργία, περνά μέσα είναι ένα αντικείμενο το JavaScript, στο εσωτερικό του οποίου είναι .coords.latitude και .coords.longitude, το οποίο είναι ακριβώς το πώς, στη συνέχεια, όταν reloaded αυτή τη σελίδα, Ήμουν σε θέση να δείτε τη θέση μου εδώ. Τώρα, τουλάχιστον υπήρχε άμυνα εδώ. Πριν επισκέφτηκα αυτή τη σελίδα, όταν στην πραγματικότητα λειτούργησε, τι εγώ τουλάχιστον ζητηθεί; 

ΚΟΙΝΟ: [δεν ακούγεται]. 

David J. Malan: Ναι ή no-- κάνουμε θέλετε να επιτρέψετε ή να αρνηθείτε αυτό; Αλλά πιστεύω, επίσης, για τις συνήθειες εσείς έχετε πιθανώς υιοθετηθεί, τόσο για τα τηλέφωνα σας και προγράμματα περιήγησης σας. Πολλοί από εμάς, τον εαυτό μου περιλαμβάνονται, είναι μάλλον αρκετά προδιάθεση αυτά που days-- δείτε ένα pop-up, απλά Enter, ΟΚ, Έγκριση, Επιτρέψτε. Και όλο και περισσότερο, μπορείτε να βάλετε τον εαυτό σας σε κίνδυνο για τους λόγους αυτούς. 

Έτσι, στην πραγματικότητα, δεν υπήρχε αυτό το υπέροχο bug λίγα χρόνια ago-- ή την έλλειψη feature-- ότι το iTunes είχε πριν από λίγα χρόνια, σύμφωνα με την οποία, εάν είχατε ένα κινητό τηλέφωνο, και ήταν ένα iPhone, και θα φύγει από το σπίτι σας και ως εκ τούτου, ταξίδεψε σε όλο τον κόσμο ή η γειτονιά, όλο αυτό το διάστημα, το τηλέφωνό σας, ήταν η υλοτόμηση όπου και αν βρίσκεστε μέσω GPS. Και αυτό είναι στην πραγματικότητα αποκαλυφθεί, και οι άνθρωποι του είδους περιμένουν αυτό τώρα. Το τηλέφωνό σας ξέρει πού είσαι. Αλλά το πρόβλημα ήταν ότι, όταν ήσασταν δημιουργία αντιγράφων ασφαλείας το τηλέφωνό σας για να iTunes-- αυτό ήταν πριν οι ημέρες του iCloud, το οποίο είναι για την καλύτερη ή για worse-- είχε αποθηκεύονται τα δεδομένα στο iTunes, εντελώς χωρίς κρυπτογράφηση. Έτσι, εάν έχετε μια οικογένεια ή συγκάτοικοι ή ένα κακόβουλο γείτονα που είναι περίεργος για κυριολεκτικά κάθε GPS συντονίζει έχετε πάει ποτέ, αυτός ή αυτή θα μπορούσε απλά καθίσουν στο iTunes, τρέχει κάποιο λογισμικό που ήταν ελεύθερα διαθέσιμες, και χάρτες προϊόντα όπως αυτό. 

Στην πραγματικότητα, αυτό είναι αυτό που που παράγονται από τις δικές μου τηλέφωνο. Μου στην πρίζα. Και μοιάζει, με βάση σχετικά με τις μπλε κουκίδες εκεί, αυτό είναι όπου τα περισσότερα από οι συντεταγμένες του GPS ήταν έχουν καταγραφεί από το iTunes ότι εγώ ήταν στο βορειοανατολικό εκεί. Αλλά προφανώς ταξίδεψε γύρω λίγο, ακόμη και μέσα στην Μασσαχουσέττη. 

Έτσι, αυτό είναι το λιμάνι της Βοστώνης εκεί στα δεξιά. Αυτό είναι το είδος του Cambridge και Βοστώνη, όπου είναι πιο σκοτεινές. Και μερικές φορές, εγώ θα τρέξει θελήματα σε μεγαλύτερο γεωγραφία. 

Αλλά το iTunes, για χρόνια, είχε, ως το καλύτερο Θα μπορούσα να πω, όλα αυτά τα δεδομένα για μένα. Θα μπορούσατε να πείτε ότι, εκείνη τη χρονιά, ήμουν πραγματικά ταξιδεύουν πολύ μεταξύ Βοστώνης και τη Νέα Υόρκη, πηγαίνει πέρα ​​δώθε και πίσω και μπρος. Και πράγματι, αυτό είναι για μένα Amtrak, πίσω και πίσω, εμπρός και πίσω, αρκετά. Όλα αυτά ήταν που καταγράφεται και αποθηκεύονται κρυπτογραφημένα στον υπολογιστή μου για όποιον θα μπορούσε να έχει πρόσβαση στον υπολογιστή μου. 

Αυτό ήταν ανησυχητικό. Δεν ήξερα γιατί ήμουν στην Πενσυλβάνια ή γιατί το τηλέφωνό μου ήταν στην Πενσυλβάνια, προφανώς αρκετά πυκνά. Και τότε, επιτέλους, κοίταξα σε Gcal μου, και, ω, εγώ επισκέφθηκε CMU, Carnegie Mellon, κατά τη χρονική στιγμή. Και φτου, αυτό το είδος του εξήγησε ότι blip. Και τότε, αν κάνετε ζουμ περαιτέρω, μπορείτε να δείτε επισκέφτηκα Σαν Φρανσίσκο μία ή περισσότερες φορές, στη συνέχεια, και είχα ακόμα μια στάση σε ό, τι Νομίζω ότι είναι Βέγκας, εκεί κάτω. Έτσι, το σύνολο των this-- μόνο ένα στάση, στο αεροδρόμιο. 

ΚΟΙΝΟ: [γέλια] 

Έτσι, αυτό είναι μόνο για να πω ότι αυτά προβλήματα, ειλικρινά, είναι πανταχού παρούσα. Και αισθάνεται μόνο όλο και περισσότερο σαν να υπάρχει όλο και περισσότερο από αυτό που αποκαλύπτεται, που είναι πιθανώς ένα καλό πράγμα. Τολμώ να πω, ο κόσμος δεν είναι επιδεινώνεται στο γράψιμο λογισμικό. Είμαστε όλο και καλύτερη, Ας ελπίσουμε ότι, στο ενδιαφέρον παρουσιάζει πόσο κακό συγκεκριμένο λογισμικό είναι ότι είμαστε χρησιμοποιούν. Και ευτυχώς, κάποιοι εταιρείες αρχίζουν να λογοδοτήσουν για αυτό. 

Αλλά τι είδους άμυνες μπορεί να έχετε στο μυαλό σας; Έτσι, εκτός από τους διαχειριστές κωδικό πρόσβασης, όπως 1Password και LastPass και άλλοι, εκτός από απλά αλλάζοντας τους κωδικούς πρόσβασης σας και έρχονται με τυχαίους χρησιμοποιώντας λογισμικό όπως ότι, μπορείτε επίσης να δοκιμάσετε όσο καλύτερα μπορείτε να κρυπτογραφήσετε όλα της κυκλοφορίας σας τουλάχιστον να περιορίσετε τη ζώνη της απειλής. Έτσι, για παράδειγμα, ως θυγατρικές του Χάρβαρντ, μπορείτε να πάτε όλοι να vpn.harvard.edu και να συνδεθείτε με το αναγνωριστικό σας Χάρβαρντ και το PIN. Και αυτό θα δημιουργήσει ένα ασφαλές σύνδεση ανάμεσα σε εσάς και το Harvard. 

Τώρα, ότι δεν σας προστατέψει απαραίτητα έναντι οποιωνδήποτε απειλών που είναι μεταξύ Χάρβαρντ και το Facebook ή το Χάρβαρντ και το Gmail. Αλλά αν κάθεστε σε ένα αεροδρόμιο ή είστε κάθεται στο Starbucks ή είστε κάθεται στο σπίτι ενός φίλου, και εσείς δεν εμπιστεύεστε τους ή πραγματικά τους διαμόρφωση του δρομολογητή στο σπίτι τους, τουλάχιστον μπορείτε να δημιουργήσετε μια ασφαλή σύνδεση σε μια οντότητα, όπως αυτό το μέρος που είναι ίσως λίγο καλύτερα εξασφαλισμένα από κάτι σαν ένα Starbucks ή τα παρόμοια. Και τι είναι αυτό που κάνει είναι θεσπίζει, και πάλι, κρυπτογράφησης ανάμεσα σε εσάς και το τελικό σημείο. 

Ακόμα πιό φανταχτερό είναι τα πράγματα όπως αυτό. Έτσι, κάποιοι από εσάς μπορεί ήδη να είναι εξοικειωμένοι με το Tor, το οποίο είναι αυτό το είδος της ανωνυμίας δίκτυο, σύμφωνα με την οποία τα μέρη των ανθρώπων, εάν εκτελέσετε αυτό το λογισμικό, τη διαδρομή Στη συνέχεια τους στο Διαδίκτυο κίνηση μέσα από κάθε άλλο. Έτσι, το συντομότερο σημείο είναι δεν είναι πλέον μεταξύ των Α και Β Αλλά θα μπορούσε να είναι όλη η τοποθετήστε έτσι ώστε να είστε ουσιαστικά καλύπτοντας τα ίχνη του και αφήνοντας λιγότερο από ένα ρεκόρ ως προς το πού HTTP σας κίνηση προήλθε από, επειδή πρόκειται μέσα από ένα σωρό άλλων ανθρώπων φορητούς ή επιτραπέζιους υπολογιστές, προς το καλύτερο ή προς το χειρότερο. 

Αλλά ακόμη και αυτό δεν είναι ένας εξασφαλισμένος πράγμα. Κάποιοι από εσάς θα θυμάστε πέρυσι η βόμβα που κλήθηκε. Και αυτό εντοπίστηκε τελικά σε μια χρηστών που είχαν χρησιμοποιήσει το δίκτυο αυτό εδώ. Και τα αλιεύματα εκεί, αν θυμάμαι καλά, είναι, αν δεν υπάρχουν πολλοί άλλοι άνθρωποι χρησιμοποιώντας ένα λογισμικό όπως αυτό ή χρησιμοποιώντας αυτό το λιμάνι και το πρωτόκολλο, δεν είναι ότι σκληρά για ένα δίκτυο με ακόμη καταλάβω ποιος, με κάποια πιθανότητα, ήταν στην πραγματικότητα ανωνυμοποίηση του ή την κυκλοφορία της. 

Και δεν ξέρω αν αυτά ήταν η πραγματικά στοιχεία εν λόγω. Αλλά σίγουρα, συνειδητοποιούν ότι κανένας από αυτά είναι αλάνθαστος λύσεις, καθώς και. Και ο στόχος σήμερα είναι να τουλάχιστον σας πάρει να σκεφτόμαστε αυτά τα πράγματα και έρχονται με τεχνικές για υπερασπίζεται τον εαυτό σας εναντίον τους. Οποιεσδήποτε ερωτήσεις σχετικά με όλες τις απειλές που σας περιμένουν εκεί έξω, και εδώ; Ναι; ΚΟΙΝΟ: Πόσο ασφαλής κάνουμε περιμένουμε το μέσο όρο [? ιστοσελίδα για να είναι,?] όπως το μέσο όρο των έργων CS50; 

David J. Malan: Η μέσο όρο των έργων CS50; Είναι πάντα αποδεικνύεται κάθε χρόνο κάποιοι CS50 τελικό έργα δεν είναι ιδιαίτερα ασφαλή. Συνήθως, είναι μερικά συγκάτοικο ή hallmate ότι τα στοιχεία που αυτό έξω με την αποστολή αιτήσεων στο έργο σας. 

Σύντομη answer-- πόσες ιστοσελίδες είναι ασφαλείς; Είμαι πάρει σήμερα ανωμαλίες. Όπως ήταν συμπτωματική ότι συνειδητοποίησα ότι αυτή την ιστοσελίδα Έχω την παραγγελία αυτά ειλικρινά νόστιμα ρυθμίσεις from-- και δεν είμαι σίγουρος ότι θα να σταματήσουν να χρησιμοποιούν την ιστοσελίδα τους? Θα ήθελα να αλλάξουν απλά μου τον κωδικό πρόσβασης πιο regularly-- Δεν είναι σαφές πόσο ευάλωτες όλα αυτά various-- Αυτό είναι σοκολάτα-καλύπτονται στην πραγματικότητα. Η σύντομη απάντηση, δεν μπορώ να απαντήσω ότι αποτελεσματικά, εκτός από το να το πω Δεν ήταν τόσο δύσκολο για μένα να βρείτε μερικά από αυτά τα παραδείγματα μόνο για χάρη της συζήτησης στην διάλεξη. Και απλά κρατώντας ένα μάτι για Ειδήσεις Google και άλλων πόρων θα φέρει όλα τα περισσότερα από αυτά τα πράγματα στο φως. 

Εντάξει, ας συνάπτει με αυτό το prequel ότι η ομάδα CS50 έχει ετοιμάσει για εσάς εν αναμονή της CS50 Hackathon. Και στο δρόμο σας έξω σε ένα στιγμή, τα φρούτα θα πρέπει να εξυπηρετούνται. [ΑΝΑΠΑΡΑΓΩΓΗ] [ΜΟΥΣΙΚΗ Fergie, Q TIP, ΚΑΙ GOONROCK, "Α Μικρό πάρτι ΠΟΤΕ ΚΑΝΕΙΣ ΔΕΝ ΣΚΟΤΩΣΕ (ΟΛΑ WE GOT) »] 

- [Ροχαλητό] [ΤΕΛΟΣ VIDEO Αναπαραγωγή] David J. Malan: Αυτό είναι για CS50. Θα σας δούμε την Τετάρτη. [ΜΟΥΣΙΚΗ - Skrillex, "IMMA" Δοκιμάστε το "]