DAVID J. Malan: Jen CS50, kaj ĉi tiu estas la komenco de la semajno 10. Vi eble memoras ke ni montrita sur la ekrano 3D printilo, kiu Estas tiu mekanismo kiu prenas bobenoj de plasto kaj tiam extrudes ĝin hejti ŝin kaj degelanta ĝin tiel ke ni povos tiam formas Chang armeo de elefantoj, ekzemple. 

Do ĉe Leverett Domo, tamen, lastatempe, mi estis babilante kun unu de viaj samklasanoj kaj amiko de Chang nomata Michelle, kiu fakte internigita ĉe tiu alia kompanio pasinta jaro havas malsaman teknikon por reale krei tridimensiajn objektojn, kiel tiu eta elefanto tie. En aparta, la maniero ĉi laboras estas kiu estas ekzemplo de io nomita stereolithography, per tie estas tio baseno de rezino aŭ likva, kaj tiam laser batas ke likva, kaj iom post iom, la aparato liftoj kaj liftoj kaj levas la afero ke vi presi, kiel elefanto, kiel tiu likva iĝas solida. Kaj la rezulto, efektive, Estas iu kiu estas multe pli fortika ol kelkaj la plasto giveaways iuj el vi eble havis. 

Kaj kio Chang afable faris por ni tie estis faris tempo-pason uzante fotoj Super la apartajxo de horo aŭ pli, probable, produkti ĉi ulo tie. Farus iu kiu neniam venis antaux ŝatus veni batis Komenco sur tiu video? Permesu al mi iri kun, kiom pri tie. -Venu. Bone. Kaj vi estas? Luko: Mia nomo Luko [inaudible]. DAVID J. Malan: Hi, Luko. Agrable renkonti vin. 

Luko: Nice to meet you. Publiko: li kuras por UC. 

DAVID J. Malan: Mi scias, ni provas ne promocii. Bone, do Luko, ĉiuj Vi devas fari tie en CS50 ĝi batis la spaco trinkejo printi elefanto. [VIDEO Playback] - [Masxino zumantaj] - [Crash] - [Eksplodo] - [Crash] [END VIDEO Playback] DAVID J. Malan: Do kio estas ĝuste kio estas kiel al 3D print. Kaj jen via elefanto. Dankon por volontulado. Bone. Do denove, por la postuloj por la fina projekto, ĉi aparataro tio disponebla por vi uloj Estas, ial, via projekto havas kelkajn komunaĵo de programaro kaj aparataro, rimarki, ke tiuj estas nun rimedoj. 

Mi volis preni unu momento tuŝi sur Crimson artikolo kiu eliris malfrue hieraŭ nokte, kio estis anonci ke tiu ulo tie, Davido Johnson, kiu pasis la altranga preceptor por Ec 10 faras sufiĉe tempo, lasas Harvard en la fino de la akademia jaro. Kaj mi simple volis preni momenton, honeste, danki Davido antaŭ CS50. Li estis mentoro de varoj al ni tra la jaroj. 

Kaj mi sentas kiel ni, CS50, havi iom kreskis kun Ec 10 en tie, pro tio ke estas ĝuste antaŭ ni. Kaj li kaj la tuta teamo en Ec 10 havas estis mirinde bonkora, sincere, kiel ni LUG en ĉiuj niaj teamoj ĉiu kaj ĉiu semajno, kaj jarojn, havigis multon de konsilo kiel ni estis scivolema pri kiel operacias Ec 10. Do nia dankon admiro al Davido Johnson. 

[Aplaŭdo] 

Nun, unrelatedly, do Fine ja estas proksime. Ni estas ĉi tie en la semajno 10. Kaj ni nur havas nur kelkaj formalaj semajnoj tie en klaso forlasis, sekvis per paro de okazaĵoj. Do donu al vi la senton de kio estas sur la horizonto, jen ni hodiaŭ. 

Ĉi merkredo recall, ni havos gaston prelego de neniu alia ol Microsoft propra Steve Ballmer. Se vi ankoraŭ ne foriris por cs50.harvard.edu/register, fari tiel, ĉar spaco estos limigita. Kaj ili estos kontrolanta IDs ĉe la pordo hodiaŭ. Se vi ne estis tie lasta semajno, mi ekhavis la ideon turmentus vin kun malsama aspekto je Steve kaj la ekscitiĝo ke atendas nin je merkredo. 

[VIDEO Playback] 

-Passion. 

-We're Tuj estos hardcore-- hardcore. 

-Innovator. 

-Bill Diris, vi ne komprenas. Ni tuj metis komputilo cxiuflanke skribtablo kaj en ĉiu hejmo, kiu fariĝis La moto de la firmao. Mi ĵuras, Bill elpensis tiunokte vere donas min kelkaj el la vizio kial mi devus diri jes. Mi neniam rigardis malantaŭen, vere, post tio. 

-Fresh El kolegio, li kunigis komenciĝanta starto kaj helpis ŝin kreski en unu el Ameriko plej prosperaj entreprenoj eterne. La vivo de kaj negoco lecionoj lernis survoje lasu lin reen al sia infanaĝo pasio kaj amo. Kaj tiuj spertoj pretigis lin pro lia proksima defio en vivo. 

-Nothing Ricevas en nia way-- eksplodo! Konservu venanta hardcore! Iru Clippers! 

-tio Estas Steve Ballmer, "In My Own Words". [END VIDEO Playback] DAVID J. Malan: --this Merkredo al CS50. Estras cxi tiun adreson ĉi tie. Pri kio alia estas sur la horizonto, sekva semajno, neniu prelego lundon. Sed ni estos sekvante tiu per kvizo unu merkrede. Iru al CS50 la hejmpaĝo por detaloj pri homoj, lokoj, kaj epokoj por ĉiu el la diversaj proctoring loĝistiko kaj similaj, tiel kiel ĉirkaŭ recenzo kunsidoj kiuj estas venonta. Kaj tiam, laste, lunde, tago antaŭ la semajno de Thanksgiving malvarmetigxos realigi estos nia fina prelego. Ni servos kuko kaj granda multe da ekscitigxo, ni esperas. 

Nun, kelkaj aliaj ĝisdatigoj. Konsideru ke la statuso raporto, kiu estas vere ĝuste signifis esti senĝena interago kun via TF al fiere deklaras simple kiom kune kun via fina projekto vi, aŭ almenaŭ kiel prudento kontrolu ke vi devus oni proksimigas ke atentigi malmulta poste. La Hackathon tiam sekvas ke. Realigi la Hackathon ne estas ŝanco komenci via fina projekto, sed estas intencita esti ŝanco esti en la mezo de aŭ al la fino de via fina projekto, kun la implementación pro kelkaj tagojn poste, sekvita de la CS50 foiro. 

Nun, CS50 produktado teamo, paro de jaroj, kunmeti teaser por CS50 foiro kiu ni pensis ke ni volas montri al vi hodiaŭ, ĉar ili jam estis malfacile ĉe laboro sur precuela por ke, nova video ke ni konkludas hodiaŭ kun. Sed jen kion vin atendas por ĉijara CS50 foiro. [VIDEO Playback] - [Poŝtelefono sonoras] [MUZIKO "TEMO DE Misio: Neebla"] [END VIDEO Playback] DAVID J. Malan: Do tio estas ekzakte kiel ni fermas fina projekto proponoj. Paro de nun teasers-- se Vi ŝatus aliĝi Noĉjo tie por tagmanĝi, kiel kutime, ĉi Vendredo, estras ĉi URL tie. Plue, se vi volus aliĝi Noĉjo aŭ ĉi Nick aŭ ĉi Allison aŭ ajna membroj de CS50 teamo, ĉu rimarkas ke, baldaŭ post termino fino, CS50 estos jam varbas por venontjara teamo, por Cas, TFS, diseñadores, produktantoj, esploristoj kaj aliaj pozicioj ke tie funkcii CS50 ambaŭ antaŭ kaj malantaŭ la scenoj. Do se tio povus esti de intereso por vi, estro de ĉi tiu URL tie. Kaj studentoj pli komforte, malpli komfortaj, kaj ie en inter similaj estas ĉiuj bonvenaj kaj kuraĝigis apliki. 

Do ĝi estis perfekta timing ke neniu sxerco, ĉimatene, kiam mi vekiĝis, Mi havis ĉi tie spamado en mia leterkesto. Ĝi fakte glitis tra Gmail spam-filtrilo iel kaj finis en mia reala enirkesto. Kaj ĝi diras: "Karaj leterkesto uzanto, vi estas aktuale altgradigita al 4 gigabajtoj de spaco. Bonvolu ensaluti al via konto Por validigi E-spaco. " 

Kaj tiam tie estas tio bela blua forlogante ligilo tie klaki sur por fakultato kaj bastono, kiu poste kondukis min al mirinde legitima paĝo, kiun demandis min doni al ili mian nomon kaj retadreson kaj, kompreneble, Pasvorto validigi kiu estas kaj tiel plu. Sed kompreneble, kiel estas ĉiam la kazo, vi alvenas al ĉi surteriĝo paĝo, kaj kompreneble ekzistas almenaŭ unu tajperaro, kio ŝajnas esti la najlon La ĉerko de iu el tiuj fraŭdoj. Kaj ni sendi eble iuj aliaj ligiloj al tiuj specoj de ekranfotoj en la estonteco. Sed mi esperas, la plej multaj homoj en tiu ĉambro ne clicked-- aŭ eĉ se vi klakis tiaj ligoj kiel tiu, Vi ne eliras tiel for kiel plenigi tiujn formojn kaj saluton. Fakte, ĝi estas bone se vi havas. Ni provos ripari ke hodiaŭ, ĉar, ja hodiaŭa konversacio pri sekureco. 

Kaj efektive, unu el la celoj de CS50 estas ne tiel instrui vin CE aŭ PHP aŭ JavaScript aŭ SQL aŭ iu el tiuj subkuŝanta efektivigo detaloj. Sed estas por kapabligi vin kiel homoj por simple fari inteligenta decidoj kiel Raportas technology malsupren la vojon por ke, ĉu vi estas inĝeniero aŭ humanista aŭ sciencisto aŭ iu ajn alia rolo, vi faras decidojn informitaj pri via propra komputado uzado, aŭ se vi estas en decidofaraj pozicio, en la politiko, en aparta, vi faras multe, multe pli bonajn decidojn ol Multaj homoj hodiaŭ estis. Kaj ni faros tion per vojo de kelkaj ekzemploj. 

Unue mi estis iom surprizita ĵus malkovri la sekvan. Do pasvortojn, kompreneble, estas kio la plimulto de ni uzas por protekti nian data-- retpoŝto, babilejo, kaj ĉiajn rimedojn tiel. Kaj ĝuste per awkward-- ne montras de manoj, sed embarasita rigardojn de honto, kiom vi uzos la sama pasvorto en multaj malsamaj retejoj? 

Ha, bone, ke ni tion faros la manojn. OK, tiom multe de vi fari. Ĉiu, kiu faras tion, nur kial? Kaj kio? Yeah? Publiko: Estas facile memorebla, ĉar vi ne devas memori [inaudible]. DAVID J. Malan: Jes, estas facile memorebla. Ĝi estas perfekte racia, racia konduto, kvankam la risko vi metante mem en ĉi tiuj kazoj estas nur unu aŭ pli el tiuj retejoj estas vundeblaj al hacking aŭ nesekura aŭ vian pasvorton Nur tiel Darn guessable, ĉiu povas kompreni ĝin. Ne nur estas unu konton kompromitita, sed teorie ajna kontoj vi havas sur la interreto. Do mi scias ke mi povus diri hodiaŭ, ne faru uzi la saman pasvorton ĉie sed tio estas multe pli facile dirite ol farite. Sed ekzistas teknikoj por moderigo tiu aparta koncerno. 

Nun, mi okazi, ekzemple, al uzi programon nomitan 1Password. Alia populara nomas LastPass. Kaj fasko de CS50 bastonon uzo unu aŭ pli de tiuj specoj de iloj. Kaj longan rakonton, unu takeaway hodiaŭ devus esti, jes, vi havu la sama pasvorto ĉie sed ĝi estas tre facile por ne plu fari tion. Ekzemple, tiuj tagoj, mi scias eble unu el miaj dekoj aŭ centoj de pasvortoj. Ĉiuj miaj aliaj pasvortoj estas pseŭdo-hazarde generita per unu el tiuj programoj tie. Kaj en malmultaj vortoj, kaj eĉ Kvankam la plimulto de ĉi tiuj programoj inklinas venu kun iom de kosto, vi devus instali programon kiel tiu, Vi devus tiam stoki ĉiuj via salutnomoj kaj pasvortoj ene de ĉi tiu programo en via Mac aŭ PC aŭ whatnot, kaj tiam estus ĉifrita sur via komputilo kun kio estas espereble pli aparte longan pasvorton. Do mi havas tutan faskon da pasvortojn por individuaj retejoj, kaj tiam mi vere longan pasvorton Mi uzi malŝlosi ĉiujn tiuj aliaj pasvortojn. Kaj kio estas agrabla pri programaro kiel tio ke, kiam vi vizitas retejon tio petas vian salutnomon kaj pasvorton tiuj tagoj, mi ne tajpas salutnomon kaj pasvorton ĉar, denove, mi eĉ ne scias kio la plimulto de miaj pasvortoj estas. Mi anstataŭe trafis klavaro shortcut, la rezulto de kiu Estas deĉenigi ĉi programaron Averti min por mia sinjoro pasvorton. Mi tiam tajpas ke unu granda pasvorto, kaj tiam la retumilo aŭtomate plenigas kion mia pasvorto estas. Do vere, se vi prenos nenio alia for de hodiaŭ en terminoj de pasvortoj, tiuj estas programaro kiu valoras elŝutante aŭ renversi en tia ke vi povas almenaŭ rompo ke aparta kutimo. Se vi estas la tipo kiu estas uzante Post-It notoj aŭ la like-- kaj _odds_ estas almenaŭ unu el vi is-- ke kutimo ankaŭ sufiĉas diri, devus esti rompita. 

Nun, mi hazarde malkovris, kiel rezulto uzi la programaron, jeno. Mi estis ordigi la Manĝebla Ordigo: tiu korbo de fruktoj, ĵus. Mi frapis mian specialan klavaron ŝparvojo por ensaluti en la retejo. Kaj la programaro ekkaŭzis popon-up kiu diris, vi estas certa vi deziras min aŭtomate submit ĉi salutnomon kaj pasvorton? Ĉar la rilato estas necerta. 

La ligo ne uzante HTTPS, por sekura, uzante tiun protokolon konata kiel SSL, Secure kontaktoskatoloj Layer. Kaj efektive, se oni rigardas la supro lasita de tiu retejo, estas nur www.ediblearrangements.com, neniu HTTPS, kiu ne estas tiel bona. 

Nun, mi estis curious-- eble tiu Estas ĝuste cimon en la softvaro. Certe, iuj paĝaro ŝatas ĉi tiu multe el ni konas Estas almenaŭ uzante kodita aŭ HTTPS URL ensaluti vin. Kaj mi acxetis iom scivolema ĉimatene. Kaj mi elprenis mian CS50 lertecojn, Mi malfermis Chrome Inspektisto. Ne estas eĉ multe de kapableco. Estas nur la gxustan klavaro ŝparvojo malfermi tiu supren. Kaj jen granda fenestro de Chrome La Inspektisto. 

Sed kio estis fakte iom tragika kaj ridinda tiuj du linioj tie. Ĉe la supro, rimarki la URL kio salutnomon kaj pasvorton prizentita. Lasu min zomi. Estis ĉi tie. Kaj ĉiuj kiu estas ia neinteresa, krom tio la tutan vojon al maldekstren, kiu startas kun http: //. Kaj tiel do, bone, eble Ili estas nur ordoni mia uzantonomo, kiu estas Ne tia granda negoco. Eble mia Pasvorto akiras sendita poste. Kiu estus speco de interesa dezajno decido. 

Sed Nope. Se vi do rigardas la peton ŝarĝo, la salutnomo kaj pasvorto Mi sent-- Mi sxercis tiuj ĉe la slide-- fakte estis sendita en la klara. Do vi iros al tiu aparta retejo kaj ordigi Manĝebla Ordigo kiel tiu, kaj efektive, ŝajne, por cxi tiu tuta Mi ĉiam ordigi el ili, Via salutnomo kaj pasvorto tuj trans la klara. Tiel honeste, tiu estas tute neakceptebla. Kaj estas tiel bagatela por eviti tion tiel kiel la diseñador de retejo kaj kiel la programisto de retejo. 

Sed la takeaway tie ni kiel uzantoj de retejoj Estas ĝuste estimi ke ĉiuj portas estas por unu stultan dezajnon decido, nepravigebla dezajno decido, tial nun, se vi scias mian pasvorto estas "Crimson" sur tiu retpaĝaro, vi probable ĵus en tuta aro da aliaj retejoj kiujn mi nun havas. Kaj tio ne multe de sxirmo kontraux tiun alia ol kion Chang faris ĉimatene. Li iris al Manĝebla aranĝojn, kiuj situas sur la strato en Kembriĝo, kaj fizike aĉetis tion por ni. Tio estis multe pli sekura ol uzanta la retejon en tiu kazo. 

Sed la detalo teni okulon ekstere por fakte kio estas en la retumilo supren supro tie. Sed eĉ tio povas esti iom trompa. Do alia interesa Ekzemple kaj maniero de protekti kontraŭ this-- kaj fakte, ni ĉu tiu first-- vojo defendi kontraŭ ĉi estas tekniko ke sekureco homoj farus nomas du-faktoro aŭtentokontrolo. 

Ĉu iu scias kion la solvo al problemoj kiel tiu signifas? Kio estas du-faktoro autenticación? Aŭ alia maniero, kiel multaj el vi uzas ĝin? OK, do kelkaj timemaj homoj. Sed jes. Mi vidis vian manon iru. Kio estas du-faktoro autenticación? 

Publiko: Esence, krom por tajpi en vian pasvorton, Vi ankaŭ havas malĉefan [inaudible] sendita vojo tekstmesaĝo al via telefono ĉe la [inaudible]. DAVID J. Malan: Ĝuste. Krom iuj primara formo de autenticación, kiel pasvorto, vi petis malĉefa faktoro, kio estas tipe io vi devas fizike sur vin, kvankam povas esti io ajn entute. Kaj tiu afero estas tipe poŝtelefono tiuj tagoj kiujn vi ricevas sendis portempan tekstmesaĝo kiu diras "Via temporal pass kodo 12345." 

Do krom mia pasvorto "rugxa", mi ankaŭ devi tajpi ajn La TTTejo mensajearon mi. Aŭ se vi havas ĉi tion kun banko aŭ inversio konton, vi iam havos tiujn iom dongles ke fakte havas pseŭdo-hazarda nombra generilo konstruita en ilin, sed ambaŭ la mekanismo kaj la bankon scii kion viaj komenca semo estas por ke ili sciu, kiel la iom kodon en via eta ŝlosilo FOB marŝas antaŭen ĉiu minuto aŭ du, ŝanĝante valoroj tiel faras ke valoro ŝanĝo sur la bordo de servilo tiel ke ili povas simile autenticar vi, ne nur kun via pasvorto sed kun tiu provizora kodon. Nun vi povas reale fari tion en Google. Kaj sincere, tiu estas bona kutimo por eniri, precipe se vi estas uzanta Gmail tutan tempon en la navegador. Se vi iras al tiu URL tie, kio estas en la diapozitivoj online por hodiaŭ, kaj poste klaki la 2-Paŝo Verification, sama reala afero tie. Vi estos petata doni ilin numero de via poŝtelefono. Kaj tiam, ajna tempo vi ensaluti Gmail, vi ne estu nur demandis por via pasvorto, sed ankaŭ por iom kodo kiu akiras sendita al via telefono provizore. Kaj tiel longe kiel vi permesu kuketojn, kaj tiel longe kiel vi faras ne eksplicite elsaluti, vi nur havas fari tion unufoje en momenton, kiel kiam vi sidiĝu en nova komputilo. 

Kaj la inversita tie, ankaŭ, estas, se vi sidiĝu en iu Retkafejo stilo komputilo aŭ nur amiko komputilo, eĉ se tiu amiko malice aŭ scii havas klavaron logger instalita sur lia aŭ ŝia komputilo, tia, ke ĉion, kion vi Tipo estas ensalutinta, almenaŭ ke dua faktoro, ke temporal kodo, estas efemera. Do li aŭ ŝi aŭ kiu ajn estas kompromitis la komputilo ne povas ensaluti en vin poste, eĉ se ĉio alia estis vundebla aŭ eĉ neĉifrataj entute. Facebook havas ĉi ankaŭ, kun tiu URL tie, kie vi povas alklaki Salutnomo aproboj. Do jen, mi, kaj se vi ne volas amikojn por poke homoj, vi ne volas esti ŝovas en Facebook aŭ afiŝante statuso ĝisdatigoj por vi, du-faktoro autenticación tie estas probable bona afero. Kaj tiam tie estas tio alia tekniko en aro, nur auditoría, kiu estas eĉ bona afero por ni homoj, Se du-faktoro pruvas ĝena, kiu, rekoni, ĝi povas, aŭ ĝi estas nur ne disponebla en iuj retejo, minimume teni okulon sur se kaj kiam vi ensalutadon en ejoj, se ili permesas al vi, estas bona tekniko, ankaŭ. Do Facebook ankaŭ donas al vi tiun Salutnomo Sciigoj karakterizaĵo, per kiu ĉiutempe Facebook rimarkas, hm, Davido havas ensalutinta el iu komputilo aŭ telefono ke ni neniam vidis antaŭe de IP adreso kiu similas nekonataj, ili devos almenaŭ sendu al vi retpoŝto al kiom retpoŝtadreson vi havas sur dosiero, dirante: Ĉu tio aspektas suspektinda? Se jes, ŝanĝi vian pasvorton tuj. Kaj do, ankaŭ, nur auditorías konduto eĉ post vi estis kompromitita, povas almenaŭ mallarĝigi la fenestro dum kion vi estas vundebla. 

Bone, demandojn sur tiu stuff tiel multe? Hodiaŭ estas la tago por akiri ĉiuj via paranojo konfirmita aŭ neita. Tio plejparte konfirmis, malfeliĉe. Yeah? 

Publiko: [inaudible] telefono, Kio se via telefono paŭzoj, kaj tiam estas ĉiam Malfacile verify-- 

DAVID J. Malan: Vera. 

Publiko: Aŭ se vi estas en malsama lando, kaj ili ne lasu vin ensalutu ĉar [inaudible]. DAVID J. Malan: Absolute. Do tio estas la aldona kostoj ke vi falus. Ĉiam ĉi temo de la komerco-off, finfine. Kaj tiam, se vi perdus vian telefonon, se ĝi rompas, se vi estas fremda, aux vi simple ne havas signalo, kiel 3G aŭ LTE signalo, Vi eble ne reale povos autenticar. 

Do denove, tiuj du estas komerco-offs. Kaj kelkfoje, povas krei multan laboron por vi kiel rezulto. Sed vere dependas do en kia la atendata prezo por vi Estas io estaĵo kompromitita entute. 

Do SSL do estas tiu tekniko kiu ni ĉiuj ĝenerale prenas por donita aŭ supozi estas tie, kvankam tio klare ne estas la kazo. Kaj vi ankoraŭ povas trompi homoj, kvankam eĉ kun tio. Do jen ekzemplo de datenbanko. 

Tio estas Banko de Ameriko. Tie estas amaso de tiuj en Harvard Square kaj pretere. Kaj rimarki ke, ĉe la plejsupro de la ekrano, tie estas ja HTTPS. Kaj ĝi estas eĉ verda kaj reliefigis por ni indiki ke ĉi tiu estas ja laŭleĝe sekura retejo, aŭ tiel ni estis trejnitaj kredi. 

Nun, krom tio, kvankam, rimarki ke, se ni zomi, tie estas tio afero tie, kie vi instigis por ensaluti. Kion tio pendseruro signifas rajton tie, apud mia uzulnomo suflori? Tiu estas bela komuna en retejoj, ankaŭ. Kion tio pendseruro signifas? Vi ŝajnas kiel vi scias. 

Publiko: Ĝi ne signifas ion ajn. 

DAVID J. Malan: Ĝi signifas nenion. Ĝi signifas ke la Bank of America scipovas skribi HTML kun bildoj etikedoj, dekstra? Ĝi vere signifas nenion, ĉar eĉ ni, uzante la unuan tagon de nia rigardo en HTML, povas programi supren paĝo kun ruĝa fono kaj bildo, kiel GIF aŭ whatnot, ke okazas simili pendseruro. Kaj tamen, tiu estas super komuna en retejoj, ĉar ni estis trejnitaj por supozi tio, ho, pendseruro signifas sekura, kiam vere signifas nur vi scias HTML. 

Ekzemple, reen en la tago, mi povis ĵus metis tion en mia retejo, asertante estas sekura, kaj demandante, efektive, por popola salutnomoj kaj pasvortoj. Do serĉu en la URL estas almenaŭ bonan aŭtoveturejon, ĉar tio estas projektita en Chrome aŭ ajna retumilo vi uzas. Sed eĉ tiam, kelkfoje aĵoj povas iri malbone. Kaj fakte, vi eble ne ĉiam vidu HTTPS, kaj multe malpli en verdo. 

Cxu iu el vi iam vidis ekranon tiel? Vi povus havi, efektive, frue en oktobro kiam mi forgesis pagi por niaj SSL- atestilo, kiel ĝi nomiĝas, kaj ni rigardis kiel tiu dum horo aŭ du. Do vi probable vidis tion kiel tiu, kun striko-tra, kiel ruĝa linio, tra la protokolo en la URL aŭ ia ekrano tio almenaŭ admonu vin por provi procedi plu. Kaj Google tie invitante vi reiri al sekureco. 

Nun, en tiu kazo, tio simple signifas ke la SSL- atestilo ke ni uzis, la granda, matematike utila nombroj kiuj asocias kun CS50 la servilo, ne plu validas. Kaj fakte, oni povas simuli tiu, kiel vi povas sur via tekkomputilo. Se mi iros en Chrome tie, kaj ni iru al facebook.com, kaj ĝi aspektas kiel tiu estas ekster dangxero. Sed lasu min iri antaŭen nun kaj klaku sur la pendseruro tie. 

Kaj mi iros al Connection, Registrita Informoj. Kaj efektive, kion vi vidu jen faskon malplialta nivelo detaloj kiuj facebook.com vere. Ŝajnas, ke ili pagis monon al kompanion nomita eble DigiCert Alta Certigon ke promesis diri al la resto de la mondo ke, se retumilo iam vidas oni certificate-- vi povas pensi ĝin laŭvorte kiel atestilo ke aspektas kiel tiu cursi afero supro left-- tiam facebook.com estas kiu diras ili estas, ĉar ĉiu ĉi tiu tempo, kiam vi vizitas retejon, kiel cs50.harvard.edu aŭ facebook.com aŭ gmail.com ke uzi HTTPS URLoj, malantaŭ la scenoj, ekzistas ĉi tia transakcio okazas aŭtomate por vi, per facebook.com, tiukaze sendas al via retumilo lia tn SSL- atestilo, aŭ pli ĝuste, lia publika ŝlosilo, kaj tiam via retumilo uzas ke publika ŝlosilo por poste sendi ĉifritajn trafiko al kaj de ĝi. 

Sed estas tiu tuta hierarkio en la mondo de entreprenoj ke vi pagas monon por kiuj volas do atesti, en cifereca senso, ke vi ja facebook.com aŭ via servilo estas ja cs50.harvard.edu. Kaj konstruis en foliumiloj, kiel Chrome kaj IE kaj Firefox, estas listo de ĉiuj tiuj tn registrita aŭtoritatoj kiuj estas rajtigitaj de Microsoft kaj Google kaj Mozilla konfirmi aŭ malkonfirmi ke facebook.com estas kiu diras estas. Sed la ruzo estas ke tion ne eksvalidiĝos. Fakte, Facebook similas ĝi elspiras proksima oktobro, en 2015. 

Do ni povas reale simuli ĉi se mi iru en mia Mac mian System Preferences, kaj mi iras en dato kaj tempo, kaj Mi iras en dato kaj tempo tie, kaj mi malŝlosos ĉi here-- Bonŝance Ni ne malkaŝis pasvorton tiu time-- kaj nun mi iros malmarku ĉi. Kaj ni actually-- oops, jen ne tiel interesa kiel fari tion. Ni estas laŭvorte en la estonteco nun, kio signifas jen kion 2020 estas. Se mi nun reŝarĝi la page-- Ni faru tion en Ingognito mode-- se mi reŝarĝi la paĝon, tie ni iras. 

Do nun, mia komputilo opinias estas 2020, sed mia retumilo scias ke tiu atestilo de Facebook eksvalidiĝi, kompreneble, en 2015. Do ĝi estas doni al mi ĉi ruĝa mesaĝo. Nun, dankeme, navegadores kiel Chrome havas reale faris belan malfacile procedi tamen. Ili ja volas min iri reen al sekureco. 

Se mi klakas tie en Advance, estas tuj rakontos al mi iom pli da detaloj. Kaj se mi vere volas procedi, oni ellasos mi iros al facebook.com, kio estas, denove, necerta, je kiu punkto Mi vidos Facebook hejmpaĝo, kiel tiu. Sed tiam aliaj aferoj ŝajnas esti rompado. Kio probable rompi je tiu punkto? Publiko: JavaScript. DAVID J. Malan: Kiel la JavaScripts kaj / aŭ CSS dosieroj estas simile trovante ke eraro. Do tio estas nur malbona situacio entute. Sed la punkto estas, ke almenaŭ Facebook ja havas SSL ebligita cxar iliaj serviloj, kiel multaj retejoj, fari, sed ne nepre ĉiuj. 

Sed tio ne sole la takeaway tie. Rezultas ke eĉ SSL estis pruvita esti necerta iel. Do mi ia sugestante ke SSL, bonaj. Serĉi HTTPS URL, kaj vivo estas bona, ĉar ĉiuj viaj HTTP trafiko kaj titolaj kaj enhavo estas ĉifrita. 

Neniu povas interkapti ĝin en la mezo, krom tn viro en la mezo. Tiu estas ĝenerala tekniko en la mondo de sekureco konata kiel viro-en-la-meza atako. Supozu ke vi estas tiu malgranda tekkomputilo tien maldekstre kaj supozu vi provas viziti servilan tie sur la dekstra, kiel facebook.com. 

Sed supozu ke, inter vi kaj Facebook, Estas amaso de aliaj serviloj kaj teamo, kiel ŝaltiloj kaj routers, DNS-serviloj, DHCP serviloj, neniu de kiuj ni kontrolas. Ĝi povus esti kontrolita de Starbucks aŭ Harvard aŭ Comcast aŭ similaj. Nu, supozu ke iu malice, en via reto, inter vi kaj Facebook, povas diri al vi ke vi scias kio, la IP-adreso de Facebook ne estas kion vi pensas ke estas. Estas ĉi IP anstataŭe. 

Kaj tiel via retumilo trompita petante trafiko de alia komputilo entute. Nu, supozu ke komputilo simple aspektas tute de la trafiko vi petas de Facebook kaj ĉiuj retpaĝoj ke vi petas de Facebook. Kaj ajna momento li vidas en via trafiko URL kiu komenciĝas per HTTPS, ĝi dinamike, sur la flugi, reescribe gxin kiel HTTP. Kaj ajna momento vidas situon kaplinio, situo dupunkto, kiel ni uzas por redirekti la uzanto, tiuj ankaŭ ŝanĝeblas per tiu viro en meze de HTTPS al HTTP. 

Do eĉ se vi mem povus pensas ke vi estas en la reala Facebook ne estas tiel malfacila por kontraŭulo kun fizika aliro al via reto simple reveni paĝojn por vi ke aspektas kiel Gmail, ke aspektas kiel Facebook, kaj ja la URL estas identa, ĉar estas ŝajnigante havi tiun saman gastiga nomo pro iuj ekspluato de DNS aŭ iu alia sistemo kiel tiu. Kaj la rezulto, tiam, estas ke ni homoj povus nur rimarkas ke, bone, tio aspektas kiel Gmail aŭ almenaŭ la malnova versio, kiel estas ĉi gliton el malnova prezento. Sed ĝi aspektas kiel this-- http://www.google.com. 

Do ĉi tie ankaŭ la realo estas ke cuantos de ili, kiam vi iras al Facebook aŭ Gmail aŭ ajna retejo kaj vi scias iom ion pri SSL, kiom vi fizike tajpu https: // kaj tiam la paĝaro nomon, Enter. La plejmulto el ni simple tajpas, kiel, CS50, batis Enter, aŭ F-Al Facebook kaj batis Enter, kaj gxi auxtomate kompleta. Sed malantaŭ la scenoj, se Vi rigardas vian HTTP trafiko, tie estas verŝajne tutaj faskon de tiuj situo headers kiuj sendas vin de Facebook por www.facebook.com al https://www.facebook.com. 

Do jen unu aŭ pli HTTP transakcioj kie via informo estas tute sendis en la klara, neniu ĉifrado ajn. Nun, ke ili ne estu tiom granda agos se ĉiuj vi provas fari ĝi aliras al la hejmpaĝo, vi ne sendi viajn salutnomon kaj pasvorton. Sed kio gxi estas sube la kastris, speciale PHP-bazitaj retejoj kiuj estas ankaŭ estante senditaj tien kaj reen kiam vi vizitas iun retpaĝon se ke retejo uzas, ni diru, PHP kaj implementa funcionalidad kiel pset7? Kio estis sendita tien kaj reen en via HTTP kaplinioj kiu donis al vi aliro al tiu bela utila super tutmondaj en PHP? 

Publiko: Kuketoj. 

DAVID J. Malan: Cookies, specife PHP sess ID kuketo. Do memoru, kiam ni iros al, diru cs50.harvard.edu denove, sed ĉi tiu fojo, ni malfermas la Reto langeton, kaj nun, ĝis tie, ni laŭvorte simple iri al http://cs50.harvard.edu kaj tiam batis eniri. Kaj tiam rigardi la ekranon malsupren tie. Rimarku ke ni ja ricevis reen al 301 kopiis konstante mesaĝo, kio signifas ke tie estas loko kaplinio tie, kiu nun redireccionando min HTTPS. 

Sed la ruzo estas ke, se mi jam havis biskviton stampita sur mian manon virtuale, kiel ni diskutis antaŭ kaj Mi, la homa speco de scii nur vizitu la nesekura versio, kaj mia retumilo prenas ŝin sur sin montri ke mano poŝtmarkon por la unuan peton, kiu estas per HTTP, neniu viro en la mezo, ia kontraŭulo en la mezo, povas teorie nur vidos tiuj HTTP kaplinioj, simple kiel ni rigardas ilin tie. Ĝi estas nur kiam vi estas parolante al HTTPS URL signifas tiu mano poŝtmarkoj mem akiri ĉifrita, a la Cezaro aŭ Vigenère, sed kun amatoro algoritmo entute. Do jen, tro, eĉ se retejoj uzi HTTPS, Ni homoj estis kondiĉita, dankon al auto-kompleta kaj aliajn teknikojn, eĉ ne pensas pri la potencialo implikaĵoj. Nun, ekzistas manieroj ĉirkaŭ ĉi. Ekzemple, multaj retejoj povas esti agordita tiel ke, unufoje vi havas ĉi mano poŝtmarkoj, vi povas diri la navegador, tiu mano poŝtmarkoj estas nur por SSL rilatoj. La retumilo ne devus prezenti al mi, se tio estas super SSL. Sed multaj retejoj ne zorgi pri tiu. Kaj multaj retejoj ŝajne eĉ ne tedas kun SSL ajn. 

Do por pli sur tio, ekzistas reale eĉ pli malpuraĵo en tiu prezento ke ulo donis al tiel nomataj nigraj ĉapelo konferenco paro de jaroj, kie ekzistas eĉ aliaj malicajn lertaĵoj personoj uzis. Vi eble memoras tiun nocio de bildsimboleto, kiu similas iom logo tio ofte en la retumilo fenestro. Nu, kio estis komuna inter maliculojn estas fari fab ikonojn kiuj aspektas kiel kio? Publiko: [inaudible]. DAVID J. Malan: Diru denove? Publiko: La retejoj. DAVID J. Malan: Ne retejo. Do bildsimboleto, eta ikono. Kio estus la plej malica, manipulador afero Vi povus fari retpagxon La defaŭlta ikono aspektas? Publiko: Verda seruro. DAVID J. Malan: Kio estas tio? Publiko: Iom verda seruro. DAVID J. Malan: Ŝati verda seruro, ekzakte. Do vi povas havi tiu estetika de malgrandaj verdaj pendseruro, sugestante al la mondo, oh, ni estas sekurigi, kiam, denove, ĉiu signifas estas ke vi scias iun HTML. Do kunsido kidnapo referencas al ekzakte tion. Se vi havas iun kiu estas speco de snufante la ondoj en tiu ĉambro tien aŭ havas fizikan aliron al reto kaj povas vidi viajn kuketojn, li aŭ ŝi povas ekpreni ke PHP sess ID kuketo. Kaj tiam, se ili estas savvy sufiĉas scii kiom sendi ke kuketo kiel siajn proprajn mano poŝtmarkoj nur kopiante ke valoro kaj sendante la HTTP kaplinioj, Iu eble tre facile ensaluti en unu el la Facebook kontoj aŭ Gmail aŭ Twitter kontoj kiuj estas tie, malferma en la ĉambron, se vi ne uzas SSL kaj se la retpaĝo Ne uzante SSL korekte. 

Do ni transiro al alia. Do alia vera rakonto. Kaj tio ĝuste rompis en la novaĵoj semajno aŭ du semajnoj. Verizon estas faranta tre malbonan, kaj kiel eble plej homoj povas diri, ekde almenaŭ 2012, per: kiam vi aliron retejoj tra Verizon poŝtelefono ajn fabrikanto estas, ili estis malhumilaj, kiel la rakonto iras, injekti en ĉiuj viaj HTTP trafiko siaj HTTP kaploko. Kaj ke kaplinio rigardoj kiel this-- X-UIDH. UID estas kiel unika ensalutilo aŭ uzanto ID. Kaj X signifas nur tio estas kutimo header tio ne normo. 

Sed kion tio signifas estas ke, se mi elsxiros, Ekzemple, neniu retejo sur mia telefono here-- kaj mi uzas Verizon kiel mia carrier-- kvankam mia retumilo ne fariĝu oni sendos ĉi HTTP header, Verizon, tuj kiel la signalo atingas ilian poŝtelefono turo ie, estis por iu tempo injekti ĉi header en ĉiuj niaj HTTP trafiko. Kial ili faru tion? Supozeble por sekvado kialoj, por publikeco kialoj. 

Sed la moronic dezajno decido tie estas ke HTTP kaplinio, kiel vi infanoj scias el pset6, estas ricevita per ajna TTT-servilo ke vi petante trafiko de. Do tiu tuta tempo, se vi estis vizitante Facebook aŭ Gmail aŭ ajna retpaĝaro kiu ne uzas SSL ĉiuj time-- kaj efektive, tiuj du Bonŝance nun do-- sed aliaj retejoj kiuj ne uzu SSL tuta tempo, Verizon havas esence estis plantante, perforte, manon poŝtmarkon sur ĉiuj niaj manoj, ke eĉ ni ne vidas, sed prefere, la fino retejoj fari. Kaj tiel ĝi ne estis ke malfacile por iu ajn en la interreto kurante retejo servilo rimarki, ooh, jen David, aŭ, ooh, tiu estas Davin, eĉ se ni estas rigora pri liberigante nia kuketoj, ĉar ĝi ne venas el ni. Ĝi venas de la portanto. 

Ili faras lookup en via telefonnumero kaj diru: Ho, tiu estas David. Lasu min injekti identificador sola tiel ke nia reklamistoj aŭ kiu ajn povas sekvigi ĉi. Do tio estas vere tre, tre tre malbona kaj harstarigaj. Kaj mi kuraĝigas vin rigardu, ekzemple, en ĉi tiu URL, kiun mi devus disclaim Mi fakte provis ĉi tiu mateno. Mi skribis iom skripto, metu gxin antaux tiu URL vizitis kun miaj propraj Verizon poŝtelefono post plenumi Wi-Fi ekstere. Do vi devas turni Wi-Fi for por ke vi uzas 3G aŭ LTE aŭ similaj. Kaj tiam, se vi vizitos tiu URL, ĉiuj ĉi skripton faras por vi uloj, se Vi ŝatus ludi, Estas ĝi sputas kion HTTP kaplinioj via telefono sendas al nia servilo. Kaj mi fakte juste faris ne vidos ĉi tiu mateno, kiu min faras pensi ĉu la lokaj poŝtelefono turo mi konektitaj aŭ whatnot ne faras ĝin, aŭ ili jam retiriĝis de faranta ĉi temporalmente. Sed por pli informo, por estri ĉi URL tie. 

Kaj nun al this-- ĉi komika povus sencon. Neniu? OK. Bone. Kiu mortis. Bone. 

Do ni rigardu kiel kelkaj pli atakoj, eĉ se nur por levi konscion pri kaj poste proponos paron potencialo solvoj por ke vi ĉiuj pli memoras. Ĉi tiu ni parolis pri la aliaj tago, sed ne donis nomon al ĝi. Ĝi estas kruco-ejo peto falsado, kiu Estas troe fantazio maniero diri vi trompi uzanto en alklakante URL kiel jena, lertaĵoj ilin en iu konduto kiu Ili ne intencas. 

En tiu kazo, tio ŝajnas esti provante trompi min en vendante miajn agojn de Google. Kaj tio sukcesos se Mi, la programisto de pset7, ne faris kion? Aŭ pli ĝuste, pli ĝenerale, en kio kazoj mi vundebla al atako se iu trompas alian uzanton en klakanta URL tiel? Yeah? 

Publiko: Vi ne distingas inter ENIRU kaj post. 

DAVID J. Malan: Bone. Se ni ne distingas inter ENIRU kaj POST, kaj efektive, se ni permesas ENIRU por vendi aferojn, ni invitas tiu speco de atako. Sed ni povus ankoraŭ mildigi gxin tiel. Kaj mi diris, mi pensas, pasintsemajne ke Amazon almenaŭ provas mildigi ĉi kun tekniko kiuj estas sufiĉe simpla. Kion farus inteligenta afero fari sur via servilo, anstataŭ nur blinde vendante ajn simbolo la uzanto tipoj en? Publiko: Konfirmo de varoj? DAVID J. Malan: Konfirma ekrano, ion engaĝante homa interago tiel ke mi devis fari la juĝon alvoko, eĉ se mi naive clicked ligilo kiuj aspektas kiel tiu kaj kondukis min al la ĉelo ekrano, ĉe Almenaŭ min demandis konfirmi aŭ nei. Sed ne nekomuna atako, speciale en tn phishing aŭ spam-simila atakoj. 

Nun, ĉi tiu estas iom pli subtila. Tiu estas kruco-ejo scripting atakon. Kaj ĉi tio okazas se via retejo ne uzas la ekvivalenta htmlspecialchars. Kaj ĝin prenas uzanto enigo kaj justa blinde injekti ĝin en retpaĝon, kiel kun presitaj aŭ eĥo, with-- again-- el nomante ion kiel htmlspecialchars. 

Do supozu la retpaĝaro demando estas vulnerable.com. Kaj supozu akceptas parametro nomita q. Rigardu kion povus okazi se mi efektive, malbona ulo, entajpu aŭ trompi unu uzanton vizitante URL kiu similas this-- q = malferma skripto etikedo, fermita skripto etikedo. Kaj cetere, mi supozas ke vulnerable.com ne tuj turni danĝera karakteroj kiel malferma krampoj en HTML entoj, La ampersand, L-T, punktokomo afero ke vi vidis antaŭe. 

Sed kio estas la skripto aŭ JavaScript kodo Mi provas trompi oni uzanton ekzekutinte? Nu, document.location referencas al mia retumilo nuna adreso. Do se mi faras document.location =, tio ebligas al mi redirect la uzanto en JavaScript por alia retejo. Ĝi estas simila al nia PHP funkcio alidirekto, sed farita en JavaScript. 

Kie mi provas sendi la uzanto? Nu, ŝajne, badguy.com/log.php, kiu estas iu skribsistemo, ŝajne, la malbona ulo skribis, ke ĝi parametro nomita kuketo. 

Kaj rimarki, kion mi ŝajni concatenando sur la fino de tiu egalsigno? Nu, iu kiu diras document.cookie. Ni ne parolis pri tio. Sed rezultu en Ĝavoskripto, ĝuste kiel en PHP, Vi povas aliri ĉiujn kuketojn ke via retumilo estas efektive uzas. 

Do la efiko de ĉi tiu linio de kodo, se uzanto estas trompita alklakante ĉi tiun ligilon La retejo vulnerable.com ne eskapi ĝin per htmlspecialchars, estas ke vi havas nur efike surgrimpitaj log.php ĉiuj viaj kuketoj. Kaj tio ne estas ĉiam tiu problema, krom se unu el tiuj kuketoj Estas via seanco ID, via tn mano poŝtmarkon, kiu signifas badguy.com povas fari sian propran HTTP petojn, sendas tiun saman manon poŝtmarkoj, tiu sama kuketo kaplinio, kaj ensaluti ajn paĝaro vi vizitis, kiu en tiu kazo estas vulnerable.com. Ĝi estas kruco-ejo scripting atako en la senco ke vi ia trompante unu ejo en rakonton alia retpaĝaro pri iuj informoj gxi ne, fakte, havas aliron al. 

Bone, pretaj por cxiu aliaj preocupante detale? Bone, la mondo estas timiga loko, laŭleĝe tiel. Jen simplan JavaScript ekzemple tio en hodiaŭa fontkodo nomita geolocalización 0 kaj 1. Kaj tie estas paro walkthroughs online por ĉi. 

Kaj ne la sekvaj se mi malfermu tiun retpaĝon en Chrome. Ĝi unue faras nenion. OK, ni provos ĉi denove. Oh. Ne, ne faru ion. OK, staras. 

Ni provu ĉi denove. [Inaudible] Ha, bone, ne certas kial the-- oh, la aparato probable perdis interreto aliro ial. Bone, do okazas al mi ankaŭ. 

Bone, do avizo kio okazas tie. Ĉi kamufla aspekto URL, kiu estas nur unu el CS50 servilo, volas uzi mian komputilo situo, kiel fizike signifas. Kaj se ja, mi alklaki Permesu, vidu kio okazas. Ŝajne, ĉi tiu estas mia nuna latitudo kaj longitudinal kunordigas malsupren al bela Darn bonan rezolucion. 

Do kiamaniere mi alvenas je tio? Kiel funkcias tiu retejo, kiel CS50 servilo, scias fizike kie en la mondo Mi, des malpli kun tiu precizeco. Nu, temas out-- ni nur rigardi la paĝo source-- ke tie estas faskon de HTML en la fundo kiu unua havas this-- korpo onload = "geolocate" - nur funkcion mi skribis. 

Kaj mi diras, loading La paĝo, voki geolocate. Kaj tiam tie estas nenio en la korpo, ĉar en la kapo de la paĝo, rimarki kion mi havas ĉi tie. Jen mia geolocate funkcio. Kaj tio estas nur kelkaj eraro checking-- se la tipo de navigator.geolocation ne estas nedifinita. Do Javascript havas ĉi mekanismo kie povas diri, kio estas la Tipo de tiu variablo? Kaj se ĝi ne estas undefined-- tio signifas ke ĝi estas iu value-- Mi tuj vokos navigator.geolocation.getCurrentPosition kaj tiam callback. 

Kio estas tio? Do ĝenerale, kio estas callback, nur por esti klara? Vi eble renkontis tio jam en pset8. Callback estas genérica termino por fari kion? Sentas nur mi hodiaŭ. Publiko: [inaudible]. DAVID J. Malan: Ĝuste, funkcio kiu devus nomi nur kiam havas datumojn. Tiu alvoko al la navegador, alportu mian aktualan pozicio, povus preni unu milisegundo, ĝi povus preni momenton. Kion tio signifas estas ke ni estas elokventa la get getCurrentPosition metodo, nomas tiun callback funkcio, kiun mi laŭvorte nomata callback Por simpleco, kiu ŝajne estas ĉi tie. 

Kaj la vojon getCurrentPosition funkcias, simple legi la dokumentadon por iu kodo JavaScript en linio, estas ke li nomas ke tn callback funkcio, pasas en ĝi JavaScript objekto ene de kiuj trovas .coords.latitude kaj .coords.longitude, kio estas ekzakte kiel, tiam, kiam mi reloaded ĉi paĝo Mi povis vidi mian situon tie. Nun, almenaŭ estis arierulo tie. Antaŭ mi vizitis la paĝon, kiam efektive funkciis, kion mi almenaŭ petata pri? 

Publiko: [inaudible]. 

DAVID J. Malan: Jes aŭ no-- fari vi volas permesi aŭ nei tion? Sed pensas ankaŭ pri la kutimoj vi infanoj verŝajne adoptita, ambaŭ en via telefonoj kaj via retumiloj. Multaj el ni mem inkluditaj, verŝajne bela predispuesto tiuj days-- vin vidu popo-supren, nur eniri, OK, Aprobi, Permesus. Kaj ĉiufoje, vi povas meti mem ĉe risko por tiuj kialoj. 

Do fakte, estis tiu mirinda cimon kelkaj jaroj ago-- aŭ manko de feature-- ke iTunes havis kelkajn jarojn antaŭe, per, se vi havis poŝtelefonon, kaj estis iPhone, kaj vi forlasis vian hejmon kaj sekve vojaĝis ĉirkaŭ la mondo aŭ la najbaraĵo, ĉiu ĉi tiu tempo, via telefono estis ensalutadon kie vi estas tra GPS. Kaj tiu estas reale malkaŝitaj, kaj popolo speco de atendi ĉi nun. Via telefono scias kie vi estas. Sed la problemo estis tiu, kiam vi asist via telefono al iTunes-- tiu estis antaŭe la tagoj de iCloud, kio estas por bona aux worse-- la datumoj estis stokitaj iTunes, tute neĉifrataj. Do, se vi havi familion aŭ samĉambranoj aŭ malica najbaro kiu estas scivola pri laŭvorte ĉiu GPS koordinato vi iam estis, Li aŭ ŝi povus simple sidiĝu ĉe iTunes, run iu programaro kiu estis libere disponeblaj, kaj produkti mapojn kiel ĉi. 

Fakte, ĉi tiu estas kion mi produktita de mia propra telefono. Mi ŝtopis ĝin. Kaj ĝi similas, bazita sur la bluaj punktoj tie, tio estas kie la plimulto de la GPS koordinatoj estis ensalutinta por iTunes, ke mi Estis en la Nordoriento tie. Sed mi ŝajne vojaĝis ĉirkaŭ iom, eĉ ene Masaĉuseco. 

Do tio Boston Harbor tie dekstre. Tio estas speco de Kembriĝo kaj Bostono, kie ĝi estas mallumaj. Kaj foje, mi kurus mesaĝojn al pli granda geografio. 

Sed iTunes, dum jaroj, havis, kiel bona Mi povus diri, ĉiuj ĉi tiuj datumoj en mi. Vi povus diri ke, tiu jaro, mi estis reale vojaĝis multe inter Boston kaj Nov-Jorko, irante tien kaj reen kaj reen. Kaj efektive, jen mi sur Amtrak, reen kaj reen, tien kaj reen, sufiĉe. Ĉiuj kiu estis registritaj kaj stokitaj ĉifrita sur mia komputilo por ĉiu kiu havu aliro al mia komputilo. 

Tio estis preocupante. Mi ne scias, kial mi en Pensilvanio kaj kial mia telefono estis en Pensilvanio, ŝajne sufiĉe dense. Kaj poste, fine, mi ekvidis je mia Gcal, kaj, ho, mi vizitis CMU, Carnegie Mellon, tiutempe. Kaj phew, ke ia klarigis ke blip. Kaj tiam, se vi zomi el tie, vi povas vidu Mi vizitis Sankta Francisko unu aŭ pli fojojn poste, kaj mi eĉ havis layover en kio Mi pensas estas ebenaĵoj, tie malsupre. Do ĉiuj this-- nur layover, en la flughaveno. 

Publiko: [Ridado] 

Do tio estas nur por diri ke tiuj problemoj, honeste, estas ĉiea. Kaj ĝi nur sentas pli ŝatas ekzistas pli kaj pli de ĉi tiu estante malkaŝitaj, kiu verŝajne estas bona afero. Mi daresay, la mondo ne estas plimalboniĝis en skribo programaro. Ni nun estas pli bone, espereble, en rimarkado kiom malbona iun programaron estas ke ni uzas. Kaj dankeme, iuj kompanioj komencas esti konsiderita respondeca por tio. 

Sed kiajn defendoj vi povas havi en menso? Do krom Pasvorto perantoj, kiel 1Password kaj LastPass kaj aliaj, krom simple ŝanĝanta viajn pasvortojn kaj venantan kun hazarda aĵoj uzante programaro kiel ke vi povas ankaŭ provi kiel eble plej bone por ĉifri ĉiuj viaj trafiko almenaŭ mallarĝigi la zono de minaco. Tiel ekzemple, kiel Harvard membrinoj, vi povas ĉiuj iru vpn.harvard.edu kaj ensalutu per viaj Harvard IRU kaj PIN. Kaj tio establi sekuran ligo inter vi kaj Harvard. 

Nu, tio ne nepre protekti vin kontraŭ ajna minacoj kiuj estas inter Harvard kaj Facebook aŭ Harvard kaj Gmail. Sed se vi sidas en flughaveno aŭ vi sidis en Starbucks aŭ vi sidis ĉe amiko loko, kaj vi ne vere fidas ilin aŭ iliajn agordo de ilia hejmo enkursigilo, almenaŭ oni povas starigi sekuran konekton al ento kiel tiu loko tio probable iom pli bone atingitaj ol iu kiel Starbucks aŭ similaj. Kaj kion tiu faras estas establu, denove, ĉifrado inter vi kaj la fina punkto. 

Eĉ amatoro estas aĵoj kiel ĉi. Iuj do el vi eble jam esti familiara kun Tor, kiu estas tiu speco de anonymization reto, per multaj personoj, se ili kuras ĉi programaron, itinero Poste ilia interreto trafiko tra reciproke. Do la plej mallonga punkto estas ne plu inter A kaj B. Sed povus esti sur la tuta meti tiel ke vi estas esence kovrante onia aŭtoveturejoj kaj lasante malpli de rekordo kiel al kie via HTTP trafiko venas, ĉar ĝi okazas tra amaso de aliaj homoj tekkomputiloj aŭ labortabloj, por bone aŭ por malbone. 

Sed eĉ tio ne estas surefire afero. Iuj el vi eble memoras la pasintan jaron La bombo susto kiu estis nomita en. Kaj estis spurita finfine al uzanto kiu uzas ĉi tiun reton tie. Kaj kaŝis tie, kiel mi memoras, estas: se ne estas, ke multaj aliaj homoj uzante programaro kiel tiu aŭ uzante tiu haveno kaj protokolo, ĝi ne estas tiel malfacila por reto inkluzive elkompreni kiu, kun iuj probablo, estis fakte anonymizing lia aŭ ŝia trafiko. 

Kaj mi ne scias se tiu estis la realaj detaloj en demando. Sed certe, rimarkas ke neniu el tiuj estas surefire solvoj, tiel. Kaj la golo tie hodiaŭ estas malpli ekiru pensante pri tiuj aferoj kaj venantan kun teknikoj protekti vin kontraux ili. Demandojn pri ĉiuj minacoj kiuj atendas vin tie, kaj ĉi tie? Yeah? Publiko: Kiel sekura fari Ni atendas la mezumo [? retejo esti,?] kiel La mezala CS50 projekto? 

DAVID J. Malan: La averaĝa CS50 projekto? Ĝi ĉiam montriĝis ĉiujare ke iuj CS50 fino vikioj aparte sekura. Kutime, ĝi estas iu kompano aŭ hallmate ke figuroj ĉi ekstere sendante petoj al via projekto. 

Mallonga answer-- kiom retejoj estas sekura? Mi pluki sur hodiaŭ anomalioj. Kiel estis nur hazardo ke mi komprenis, ke tiu retejo Mi estis ordigi tiujn sincere bongustega aranĝoj from-- kaj mi ne estas certa ke mi timige ĉesi uzi ilian retejon; Mi povus simple sxangxi mian Pasvorto pli regularly-- ne estas certe kiom vundeblaj ĉiuj tiuj various-- tio estas ĉokolado kovrita praktiko. La mallonga respondo, mi ne povas respondi al tiu efektive, krom diri ke ne estas tiel malfacila por mi trovi kelkajn el tiuj ekzemploj simple pro diskuto en prelego. Kaj ĝuste teni okulon sur Google News kaj aliaj rimedoj venigos cxiujn pli tiajn aferojn al la lumo. 

Bone, ni konkludas kun tiu precuela ke CS50 teamo preparis por vi anticipante la CS50 Hackathon. Kaj vian eliron en momento, frukto estos utilis. [VIDEO Playback] [MUZIKO Fergie, Q TIP KAJ GOONROCK, "A Grupeto neniam mortigis NENIU (ĈIUJ We Got) "] 

- [Ronki] [END VIDEO Playback] DAVID J. Malan: Estas tio por CS50. Ni vidos vin merkredon. [MUZIKO - SKRILLEX, "Imma 'PROVU"]