DAVID J. MALAN: Este es CS50, y este es el comienzo de la semana 10. Usted puede recordar que hemos demostrado en la pantalla de una impresora 3D, que es que este dispositivo toma carretes de plástico y luego se extruye por calentamiento y la fusión de tal manera que podamos entonces formar el ejército de Chang de elefantes, por ejemplo. Así que en Leverett House, sin embargo, hace poco, yo estaba charlando con uno de su compañeros de clase y amigo de Chang llamada Michelle, que en realidad internado en esta otra compañía de este último año que tiene una técnica diferente para realmente la creación de objetos tridimensionales, como este pequeño elefante aquí. En particular, la forma en que esto funciona es que es un ejemplo de algo denominada estereolitografía, por lo cual hay esta cuenca de resina o líquido, y luego un láser ocurre que líquido, y poco a poco, el dispositivo ascensores y elevadores y ascensores lo que desea imprimir, como un elefante, como que el líquido se convierte en sólido. Y el resultado, en realidad, es algo que es mucho más robusto que algunos de el plástico regalos algunos de ustedes podría haber tenido. Y lo que Chang amablemente lo hizo para nosotros aquí era hizo un lapso de tiempo el uso de fotografías en el transcurso de una hora o más, probablemente, para producir este tipo aquí. Ojalá alguien que nunca ha llegado antes gustaría venir golpear Inicio en este video? Déjame ir con, ¿qué hay allí. Vamos arriba. Bien. Y usted es? LUCAS: Mi nombre es Lucas [inaudible]. DAVID J. MALAN: Hola, Luke. Encantada de conocerte. LUCAS: Encantado de conocerte. AUDIENCIA: Está corriendo por la UC. DAVID J. MALAN: Lo sé, estamos tratando de no promover. Muy bien, por lo que Lucas, todo lo que tienes que hacer aquí en CS50 se golpea la barra de espacio imprimir este elefante. [REPRODUCCIÓN DE VÍDEO] - [Zumbido MÁQUINA] - [CRASH] - [BOOM] - [CRASH] [FIN REPRODUCCIÓN DE VÍDEO] DAVID J. MALAN: Así que eso es exactamente lo que es para la impresión 3D. Y aquí está su elefante. Gracias por el voluntariado. Bien. Así que de nuevo, por el pliego de condiciones de el proyecto final, este hardware que es a disposición de ustedes es, por alguna razón, el proyecto tiene alguna intersección de software y hardware, se dan cuenta de que estos son ahora los recursos. Quería tomar un momento para tocar en un artículo que salió Carmesí ayer por la noche, que iba a anunciar que este hombre aquí, David Johnson, quien ha sido el mayor Preceptor para Ec 10 desde hace bastante tiempo, está dejando Harvard en el final del año académico. Y yo sólo quería tome un momento, honestamente, dar las gracias a David delante del CS50. Él ha sido un mentor de clases a nosotros en los últimos años. Y me siento como que, CS50, tener más bien crecido con Ec 10 aquí, ya que están justo delante de nosotros. Y él y todo el equipo en la Ec 10 tiene sido maravillosamente amable, francamente, como nos arrastramos en todos nuestros equipos cada una y todas las semanas, y años atrás, proporcionado una gran cantidad de un abogado, ya que estábamos curioso en cuanto a la forma en que operan Ec 10. Así que nuestro agradecimiento y admiración a David Johnson. [Aplausos] Ahora, unrelatedly, por lo el final es de hecho cercano. Estamos aquí en la semana 10. Y sólo tenemos sólo un par de semanas formales aquí en la clase de la izquierda, seguido por un par de eventos. Así que para darle un sentido de lo que es en el horizonte, aquí estamos hoy. Este miércoles, el recuerdo, vamos a tener una conferencia invitado nada menos que por Propio Steve Ballmer, de Microsoft. Si todavía no has ido a cs50.harvard.edu/register, hacerlo, ya que se limitará el espacio. Y van a estar revisando Identificaciones en la puerta de este día. Si no estuvieras aquí la semana pasada, pensé que sería se burlan de ti con una mirada diferente a Steve y la emoción que nos espera el miércoles. [REPRODUCCIÓN DE VÍDEO] -Passion. -Estamos Va a ser duro hardcore--. -Innovator. -Bill Dijo, no lo consigue. Vamos a poner un computadora en cada escritorio y en todos los hogares, que se convirtió en el lema de la compañía. Te lo juro, Bill lo inventó esa noche para que realmente me dan algunos de la visión de por qué tengo que decir que sí. Yo nunca he mirado hacia atrás, Realmente, después de eso. -Fresh Fuera de la universidad, unido a un inicio incipiente y ayudó a crecer en una de América del mayoría de los negocios exitosos de la historia. La vida de los negocios y lecciones aprendidas a lo largo del camino le permitirá volver a su la pasión de la niñez y el amor. Y esas experiencias han preparado él por su próximo reto en la vida. -Nada Se interpone en nuestro auge entre rústico y moderno! Sigue viniendo hardcore! Ir Clippers! -Este Es Steve Ballmer, "En mis propias palabras." [FIN REPRODUCCIÓN DE VÍDEO] DAVID J. MALAN: --Este Miércoles a CS50. La cabeza de nuevo a esta URL aquí. En cuanto a lo demás está en el horizonte, la semana que viene, sin conferencia el lunes. Pero vamos a seguir que por concurso de uno el miércoles. Ir a la página principal del CS50 para más detalles sobre personas, lugares y horarios para todos los diversos proctoring logística y similares, así como sobre la revisión sesiones que están próximas. Y luego, por último, el lunes, el día antes de la semana de vacaciones de Acción de Gracias, darse cuenta de que será nuestra última conferencia. Vamos a servir la torta y un gran mucho entusiasmo, esperamos. Ahora, un par de otras actualizaciones. Tenga en cuenta que el estado informe, que es en realidad pretende ser una interacción informal con su TF afirmar con orgullo sólo qué tan avanzado con su proyecto final que eres, o al menos como una cordura comprobar que usted debe se aproxima a la apuntar poco después. El Hackathon entonces se deduce que. Darse cuenta de la hackathon no es una oportunidad para empezar el proyecto final, pero tiene la intención de ser una oportunidad a estar en el medio de o hacia Al final de su proyecto final, con la puesta en práctica debido algunos días más tarde, seguido de la feria CS50. Ahora, la producción de CS50 equipo, hace un par de años, armar un teaser para la feria CS50 que pensamos que te gustaría mostramos hoy, porque han estado trabajando duro en una precuela para eso, un nuevo video que vamos a concluir hoy con. Pero esto es lo que le espera para la feria CS50 de este año. [REPRODUCCIÓN DE VÍDEO] - [CELL teléfono sonando] [MÚSICA "TEMA DE MISIÓN: IMPOSIBLE"] [FIN REPRODUCCIÓN DE VÍDEO] DAVID J. MALAN: Así que eso es exactamente cómo cerramos las presentaciones finales de los proyectos. Un par de ahora teasers-- si desea unirse a Nick aquí para el almuerzo, como de costumbre, este Viernes, cabeza a esta URL aquí. Por otra parte, si desea para unirse a Nick o esta Nick o este Allison o cualquier miembros del equipo de CS50, no darse cuenta de que, en breve después del final del plazo, CS50 ya estará reclutando para el equipo del año que viene, para las entidades emisoras, TFS, diseñadores, productores, investigadores y otras posiciones que aquí operar tanto en CS50 delante y detrás de las escenas. Así que si esto podría ser de interés a usted, la cabeza a esta URL aquí. Y los estudiantes más cómodas, menos cómodo, y en algún lugar de entre iguales son todos bienvenidos y alentó a aplicar. Así que era el momento perfecto que, sin broma, esta mañana, cuando me desperté, Tuve esta aquí el spam en mi bandeja de entrada. En realidad, se deslizó a través del filtro de spam de Gmail de alguna manera y terminó en mi bandeja de entrada real. Y dice: "Querido buzón usuario, usted está actualmente actualizado a 4 gigabytes de espacio. Por favor, inicie sesión en su cuenta con el fin de validar E-espacio ". Y luego está este bonito azul enlace tentadora allí para hacer clic en para la facultad y el personal, que luego me llevó a una página maravillosamente legítimo, que me pidieron que les diera mi nombre y dirección de correo electrónico y, por supuesto, contraseña para validar quién soy y así sucesivamente. Pero, por supuesto, como es siempre el caso, se llega a esta página de destino, y, por supuesto, no hay por lo menos un error tipográfico, que parece ser el clavo en el ataúd de cualquiera de estas estafas. Y vamos a publicar, tal vez, algún otro enlaces a este tipo de capturas de pantalla En el futuro. Pero es de esperar, la mayoría de las personas en esta sala no han clicked-- o incluso si usted ha hecho clic enlaces de este tipo, usted no ha ido tan lejos como para llenar esas formas y así sucesivamente. De hecho, está bien si usted tiene. Vamos a tratar de arreglar eso hoy en día, ya que, de hecho, la conversación de hoy es por la seguridad. Y, de hecho, uno de los objetivos de CS50 no es por lo mucho que enseñarte CE o PHP o JavaScript o SQL o cualquiera de estos subyacente detalles de implementación. Pero es que usted adquiera como los humanos a sólo tomar decisiones más inteligentes como él se refiere a la tecnología por la calle, así que, si estás un ingeniero o humanista o científico o cualquier otro papel, usted está haciendo decisiones informadas sobre su propio uso de la informática, o si usted está en un toma de decisiones posición, en la política, en particular, usted está haciendo mucho, mucho mejores decisiones que una gran cantidad de seres humanos hoy en día han sido. Y vamos a hacer esto forma de unos pocos ejemplos. En primer lugar, me sorprendió bastante recientemente para descubrir la siguiente. Así contraseñas, por supuesto, son lo que la mayoría de nosotros proteger nuestro correo electrónico data--, chat, y todo tipo de recursos por el estilo. Y sólo por un awkward-- no muestran de las manos, pero se ve avergonzado de la vergüenza, ¿Cuántos de ustedes utilizan la misma contraseña en un montón de diferentes sitios web? Oh, está bien, así que vamos a hacer las manos. Aceptar, por lo que muchos de ustedes lo hacen. Cualquier persona que hace esto, por qué? ¿Y qué? ¿Sí? AUDIENCIA: Es fácil de recordar, porque usted no tiene que recordar [inaudible]. DAVID J. MALAN: Sí, que es fácil de recordar. Es un perfectamente razonable, comportamiento racional, aunque el riesgo estás poniendo a ti mismo en en estos casos es sólo uno o más de los sitios web es vulnerable a la piratería o al inseguro o su contraseña es sólo tan maldito de adivinar, cualquiera puede entenderlo. No sólo es una cuenta comprometida, pero en teoría, cualquier cuentas que tiene en internet. Así que sé que podría decir hoy, no lo hago utilizar la misma contraseña en todas partes, pero eso es mucho más fácil de decir que de hacer. Pero hay técnicas para mitigar esa preocupación particular. Ahora, se me ocurre, por ejemplo, a utilizar un programa llamado 1Password. Otro popular se llama LastPass. Y un montón de uso personal CS50 uno o más de estos tipos de herramientas. Y cuento largo, una comida para llevar para hoy debe ser, sí, es posible que tenga la misma contraseña en todas partes, pero es muy fácil de no hacer eso. Por ejemplo, en estos días, lo sé tal vez uno de mis docenas o cientos de contraseñas. Todos mis otras contraseñas son pseudo-aleatoria generada por uno de estos programas aquí. Y en pocas palabras, e incluso aunque la mayoría de estos programas tienden a venir con un poco de un costo, usted instalar un programa como este, usted entonces almacenar todos sus nombres de usuario y contraseñas dentro de este programa en su Mac o PC, o lo que sea, y entonces sería cifrada en su ordenador con lo que es de esperar una contraseña particularmente largo. Así que tengo un montón de contraseñas para sitios web individuales, y luego tengo una muy contraseña larga que yo utilizar para desbloquear todos esas otras contraseñas. Y lo que es bueno de software como este es que, cuando usted visita un sitio web que es pidiendo su nombre de usuario y contraseña, en estos días, yo no escriba en mi nombre de usuario y contraseña, porque, de nuevo, yo ni siquiera sé lo que la mayoría de mis contraseñas son. Me golpeé en lugar de un teclado acceso directo, el resultado de los cuales es para activar este software para me pedirá mi contraseña maestra. Entonces yo escribo que uno grande contraseña en, y luego el navegador llena automáticamente lo que mi contraseña es. Así que realmente, si se toma nada más de distancia a partir de hoy en términos de contraseñas, estos son software que vale la pena descargar o invertir en la que pueda por lo menos descanso ese hábito en particular. Y si usted es el tipo que es utilizando notas Post-It o la como-- y las probabilidades son, al menos, uno de ustedes es-- ese hábito, también, basta con decir, debe ser roto. Ahora, se me ocurrió para descubrir, como resultado de utilizar el software, el siguiente. Yo estaba pidiendo un Acuerdo comestible, esta cesta de fruta, recientemente. Y llegué a mi teclado especial acceso directo para iniciar sesión en el sitio web. Y el software provocó una emergente que dijo, ¿estás seguro quieres que automáticamente presentar este nombre de usuario y contraseña? Debido a que la conexión es insegura. La conexión no es utilizando HTTPS, por seguro, usando ese protocolo conocido como SSL, Secure Sockets Layer. Y de hecho, si nos fijamos en la parte superior izquierda de esta página web, es sólo www.ediblearrangements.com, no HTTPS, que no es tan bueno. Ahora, yo estaba curious-- tal vez esto es sólo un error en el software. Seguramente, algún sitio web como esto que muchos de nosotros sabemos de es, al menos, mediante el cifrado o HTTPS URL para iniciar la sesión. Así que me dio un poco de curiosidad de esta mañana. Y tengo mis habilidades CS50, Abrí Chrome Inspector. Ni siquiera es gran parte de una habilidad. Se acaba de golpear la derecha del teclado acceso directo para abrir esto. Y aquí está una gran ventana del Inspector de Chrome. Pero lo que era en realidad un poco trágica y ridícula eran estas dos líneas aquí. Hasta en la parte superior, observe la dirección URL para que mi nombre de usuario y contraseña se presentaron. Permítanme ampliar. Fue esta aquí. Y todo eso es tipo de interés, a excepción de la cosa hasta el final en la izquierda, que comienza con http: //. Y así entonces, OK, tal vez sólo están enviando mi nombre de usuario, la cual es no como un gran problema. Tal vez mi contraseña es enviado más tarde. Eso sería una especie de interesante decisión de diseño. Pero pues no. Si a continuación, mire a petición de carga útil, el nombre de usuario y contraseña Yo sent-- y me burlé éstos para el slide-- fueron enviados en realidad en el claro. Así que vas a este sitio web en particular y ordenar un Acuerdo comestible como este, y, de hecho, al parecer, para todo esto tiempo he estado ordenando de ellos, su nombre de usuario y contraseña que está pasando a través de la clara. Así que, honestamente, esto es completamente inaceptable. Y es tan trivial para evitar cosas como éste, ya que el diseñador de un sitio web y como el programador de una página web. Pero la comida para llevar aquí para nosotros como usuarios de los sitios web se acaba de darse cuenta de que todo lo que toma es para un diseño estúpido decisión, decisión de diseño injustificable, por lo que ahora, si usted sabe mi contraseña es "Carmesí" en este página web, usted probablemente acaba de conseguir en un montón de otros sitios web que ahora tengo. Y no hay mucho de una defensa en contra de que aparte de lo que Chang hizo esta mañana. Fue a Edible Arrangements, que se encuentra por la calle en Cambridge, y compró físicamente esto para nosotros. Eso era mucho más seguro que utilizar el sitio en este caso. Pero el detalle de mantener un ojo hacia fuera para es en realidad lo que hay en el navegador hasta la parte superior Ya está. Pero incluso eso puede ser un poco engañoso. Así que otra interesante ejemplo y forma de defender contra esto-- y, de hecho, vamos a hacer eso primero-- la forma de defender contra esta es una técnica que la gente de seguridad lo haría llame a la autenticación de dos factores. ¿Alguien sabe cuál es la solución a problemas como el que esto significa? ¿Qué es la autenticación de dos factores? O dicho de otra manera, ¿cómo muchos de ustedes lo están utilizando? Aceptar, por lo que un par de personas tímidas. Pero sí. Vi su mano subir. ¿Qué es la autenticación de dos factores? AUDIENCIA: Básicamente, además a escribir su contraseña, usted también tiene una secundaria [inaudible] enviado a través de mensaje de texto a su teléfono en el [inaudible]. DAVID J. MALAN: Exactamente. Además de alguna forma primaria de autenticación, como una contraseña, se le pide para una secundaria factor, que es típicamente algo que tienes físicamente en usted, a pesar de que puede ser algo completamente distinto. Y esa cosa es típicamente un Celular en estos días en que usted consigue envió un mensaje de texto temporal que dice "Su código de acceso temporal es 12345." Así que además de mi contraseña "carmesí", yo también tener que escribir lo que sea el sitio web me ha enviado mensajes de texto. O si usted tiene esto con un banco o una cuenta de inversión, a veces tienes estos pequeños dongles que en realidad tener un pseudo-aleatoria número generador incorporado en ellos, pero tanto el dispositivo y el banco sabe lo que su semilla inicial es para que sepan, como la poco código en tu pequeño llavero marchas por delante cada minuto o dos, los valores de cambio, también lo hace que el cambio de valor en el servidor del banco de modo que de manera similar se pueden autenticar que, no sólo con su contraseña, pero con ese código temporal. Ahora, en realidad se puede hacer esto en Google. Y, francamente, se trata de una buen hábito para entrar, especialmente si usted está utilizando Gmail todo el tiempo en un navegador. Si vas a este URL aquí, que está en las diapositivas en línea de hoy en día, y luego haga clic en el 2-Paso de Verificación, misma cosa real allí. Se le pedirá a dar ellos su número de teléfono celular. Y luego, cada vez que inicie sesión en Gmail, se le pedirá no sólo para la contraseña, sino también para una poco de código que se envía a su teléfono temporalmente. Y siempre y cuando usted haya activado las cookies, y siempre y cuando usted no lo hace de forma explícita cerrar la sesión, sólo tendrá para hacer eso de vez en cuando, como cuando te sientas en un equipo nuevo. Y el lado positivo, también, es que, si sentarse en algún estilo café internet computadora o simplemente un computadora de un amigo, incluso si ese amigo maliciosamente o sin saberlo tiene algo de registrador de teclado instalado en su ordenador, de tal manera que todo lo que tipo se está registrando, al menos que el segundo factor, código temporal, es efímera. Así que él o ella o quien es comprometida la computadora no se puede iniciar sesión en que posteriormente, incluso si todo lo demás era vulnerable o incluso sin cifrar por completo. Facebook tiene esto, también, con esa URL aquí, donde se puede hacer clic en Iniciar sesión Aprobaciones. Así que aquí, también, si usted no lo hace quieren amigos para asoman personas, usted no desea que se le empuje en Facebook o publicar actualizaciones de estado para usted, autenticación de dos factores aquí es probablemente una buena cosa. Y luego está esto otra técnica por completo, acaba de auditoría, que es incluso una buena cosa para nosotros los seres humanos, si de dos factores resulta molesto, que, Es cierto, que puede, o no es sólo disponible en un sitio web, mínimamente mantener un ojo en si y cuando usted está accediendo a los sitios, si que permita, es una buena técnica, también. Así que Facebook también le da a esta notificaciones de inicio de sesión disponen, por el que en cualquier momento se da cuenta de Facebook, hm, David tiene conectado de alguna computadora o teléfono que nunca hemos visto antes de una dirección IP que se parece poco familiar, que van a por lo menos le envían un correo electrónico a cualquier dirección de correo electrónico usted tiene en archivo, diciendo: no esta mirada sospechosa? Si es así, cambie su contraseña inmediatamente. Y por lo que, también, sólo el comportamiento de auditoría incluso después de haber estado comprometida, puede por lo menos estrechar la ventana durante que eres vulnerable. Muy bien, alguna pregunta en esas cosas hasta ahora? Hoy es el día para obtener todos su paranoia confirmado o negado. Eso es sobre todo confirmó, por desgracia. ¿Sí? AUDIENCIA: [inaudible] de teléfono, lo que si se rompe el teléfono, y entonces es siempre difícil verify-- DAVID J. MALAN: Verdadero. AUDIENCIA: O si usted está en un diferente país, y que no le permiten entrar porque [inaudible]. DAVID J. MALAN: Absolutamente. Y por lo que estos son el adicional los costos en que incurra. Siempre hay este tema de un trade-off, después de todo. Y entonces, si usted pierde su teléfono, si se rompe, si estás en el extranjero, o simplemente no tiene una señal, como una señal LTE 3G o, usted no podría en realidad ser capaz de autenticar. Así que de nuevo, estos dos son soluciones de compromiso. Y a veces, se puede crear un mucho trabajo para usted como resultado. Pero realmente depende, entonces, en lo que el precio esperado para usted es algo de bienestar comprometida por completo. Así SSL, entonces, es que esta técnica todos en general, damos por sentado o asumir que es allí, a pesar de que eso no es claramente el caso. Y todavía se puede inducir a error personas, sin embargo, incluso con este. Así que aquí está un ejemplo de un banco. Este es el Bank of America. Hay un montón de ellos en la Plaza de Harvard y más allá. Y darse cuenta de que, en lo más alto de la pantalla, hay una, de hecho, HTTPS. Y es aún verde y destacó para nosotros para indicar que se trata de hecho un sitio web seguro legítimamente, o por lo que hemos sido entrenados para creer. Ahora, además de eso, sin embargo, cuenta de que, si nos acercamos, hay esta cosa aquí, donde se le pide que ingrese. ¿Qué significa este candado derecha allí, al lado de mi nombre de usuario Prompt? Esto es bastante común en los sitios web, también. ¿Qué significa este candado? Parece como si supieras. AUDIENCIA: No significa nada. DAVID J. MALAN: Se no significa nada. Esto significa que el Bank of America sabe cómo para escribir HTML con las etiquetas de imagen, ¿verdad? Realmente no significa nada, porque incluso que, utilizando el primer día de nuestra mirada en HTML, puede codificar hasta una página con un fondo rojo y una imagen, como un GIF o lo que sea, que que pasa a parecerse a un candado. Y, sin embargo, esto es super común en los sitios web, porque hemos sido entrenados para asumir que, oh, candado significa seguro, cuando en realidad sólo significa que usted sabe HTML. Por ejemplo, en su día, que pude acaban de poner esto en mi sitio web, afirmando que es seguro, y pidiendo, de manera efectiva, para los nombres de usuario y contraseñas de las personas. Así que mirando en la dirección URL es al menos una mejor idea, porque que se construye en Chrome o lo que sea el navegador que está utilizando. Pero aún así, a veces las cosas pueden ir mal. Y, de hecho, no siempre se pueden ver HTTPS, y mucho menos en verde. ¿Alguno de ustedes alguna vez visto una pantalla como esta? Es posible que tenga, en realidad, a principios de octubre, cuando me olvidé de pagar por nuestra Certificado SSL, como se le llama, y que estábamos buscando como esto durante una hora o dos. Así que lo que has visto cosas así, con una huelga a través, como una línea roja, a través de el protocolo de la URL o algún tipo de pantalla que es al menos amonestar a usted por tratar de seguir adelante. Y Google está invitando aquí que vuelvas a la seguridad. Ahora, en este caso, esto sólo significaba que el certificado SSL que estábamos usando, los grandes números, matemáticamente útiles que están asociados con el servidor del CS50, ya no eran válidos. Y, de hecho, podemos simular esto, como usted puede en su computadora portátil. Si voy en Chrome aquí, y vamos a ir a facebook.com, y parece que esto es seguro. Pero déjame ir por delante y ahora haga clic en el candado aquí. Y déjame ir a la conexión, Información del certificado. Y, en efecto, lo que va a ver aquí es un montón de los detalles de bajo nivel sobre que facebook.com realmente es. Parece que han pagado dinero para una compañía llamada tal vez DigiCert alta La garantía de que ha prometido para decirle al resto del mundo que, si un navegador nunca ve un certificate-- que se pueda imaginar de que, literalmente, como un certificado que parece que algo cursi en la parte superior izquierda- entonces facebook.com es quien dice que son, porque todo este tiempo, cuando usted visita un sitio web, al igual que cs50.harvard.edu o facebook.com o gmail.com que utilice HTTPS URLs, detrás de las escenas, hay este tipo de transacción pasando automáticamente para usted, por lo que facebook.com, en este caso, se envía a su navegador de su llamado certificado SSL, o más bien, su clave pública, y luego su navegador está usando esa clave pública para enviar posteriormente encriptado el tráfico hacia y desde él. Pero hay toda esta jerarquía en el mundo de las empresas que usted paga dinero para que lo haga a continuación, declarar, en un sentido digital, que son de hecho facebook.com o el servidor es de hecho cs50.harvard.edu. Y incorporado en los navegadores, como Chrome e IE y Firefox, es una lista de todos los llamado las autoridades de certificación que sean autorizadas por Microsoft y Google y Mozilla para confirmar o negar que facebook.com es quien dice que es. Pero el problema es que estas cosas no caducan. De hecho, se parece a Facebook de que expira el próximo octubre, en el año 2015. Así que en realidad podemos simular esto si ir en mi Mac a mis Preferencias del Sistema, y entro en la fecha y hora, y Entro en la fecha y hora aquí, y puedo desbloquear esta aquí-- por suerte, nosotros no revelamos una contraseña este tiempo-- y ahora me voy a desmarcar esta. Y vamos a actually-- ¡Uy, eso es no tan interesante como hacer esto. Estamos, literalmente, en el futuro, ahora, lo que significa esto es lo que 2020 es similar. Si ahora vuelvo a cargar la page-- vamos a hacerlo en Ingognito mode-- si vuelvo a cargar la página, ahí vamos. Así que ahora, mi equipo piensa que es de 2020, pero mi navegador sabe que este certificado de Facebook expira, por supuesto, en el año 2015. Así que me está dando este mensaje rojo. Ahora, por suerte, los navegadores como Chrome tienen en realidad hecho que sea muy difícil proceder, no obstante. Ellos en verdad me quieren para volver a la seguridad. Si hago clic aquí en Advance, que es me va a decir algunos detalles más. Y si lo que realmente quiero para continuar, van a dejar que me voy a la facebook.com, que es, de nuevo, no seguro, en cuyo punto Voy a ver la página principal de Facebook, al igual que este. Pero entonces otras cosas parecen ser de ruptura. Lo que probablemente rompiendo en este momento? AUDIENCIA: JavaScript. DAVID J. MALAN: Al igual que el Archivos JavaScript y / o CSS archivos son igualmente encontrarse con que el error. Así que esto es sólo una mala situación general. Pero el punto aquí es que, al menos, Facebook sí tiene SSL activado por sus servidores, ya que muchos sitios web, hacer, pero no necesariamente todos. Pero eso no es solo la comida para llevar aquí. Resulta que incluso SSL se ha demostrado que es inseguro de alguna manera. Así que estoy dando a entender que tipo de SSL, buena. Busque HTTPS URLs, y la vida es bueno, porque todo su tráfico HTTP y las cabeceras y el contenido está cifrado. Nadie puede interceptar en el medio, a excepción de un hombre llamado en el centro. Esta es una técnica general en el mundo de la seguridad conocida como un ataque man-in-the-middle. Suponga que usted es este pequeño portátil por aquí a la izquierda, y supongamos que usted está tratando de visitar un servidor de allí a la derecha, como facebook.com. Pero supongamos que, en entre usted y Facebook, es un montón de otros servidores y equipos, como switches y routers, Servidores DNS, servidores DHCP, ninguno de los cuales controlamos. Puede ser controlado por Starbucks o Harvard o Comcast o similares. Bien, supongamos que alguien maliciosamente, en la red, entre usted y Facebook, es capaz de decirle que, sabes qué, la dirección IP del Facebook no es lo que usted piensa que es. Es esta IP en su lugar. Y para que su navegador es engañado para solicitar el tráfico de otro equipo completo. Bien, supongamos que la computadora simplemente mira a todos del tráfico que usted está solicitando desde Facebook y todas las páginas web que usted está solicitando a Facebook. Y cada vez que ve en su tráfico un URL que comience con HTTPS, de forma dinámica, en la volar, reescribe como HTTP. Y cada vez que ve una ubicación cabecera, la ubicación de colon, como usamos para redirigir el usuario, esos, también, puede ser cambiado por este hombre en el medio de HTTPS a HTTP. Así que a pesar de que usted mismo podría ¿Crees que eres el verdadero Facebook, no es tan difícil para un adversario con acceso físico a su red simplemente volver a las páginas que verá como Gmail, que verá como Facebook, y de hecho la dirección URL es idénticos, porque son pretender tener ese mismo nombre de host a causa de algún explotación de DNS o algún otro sistema parecido. Y el resultado es, pues, que los seres humanos sólo pueden darse cuenta de que, OK, esto se parece a Gmail o al menos la versión anterior, como es de esta diapositiva una presentación más. Pero parece que esto-- http://www.google.com. Así que aquí, también, la realidad es que la forma en que muchos de ustedes, cuando vas a Facebook o Gmail o cualquier sitio web y usted sabe un poco de algo acerca de SSL, ¿cuántos de ustedes físicamente escriba https: // y luego la página web nombrar, Intro. La mayoría de nosotros sólo tiene que escribir, como, CS50, presione Enter, o F-A para Facebook y pulsa Enter, y deje que se completa automáticamente. Pero detrás de las escenas, si usted mira su tráfico HTTP, es probable que haya un montón de esos encabezados de ubicación que va a enviar desde Facebook para www.facebook.com a https://www.facebook.com. Así que eso es una o más transacciones HTTP donde su información es completamente enviado en el claro, sin cifrado en absoluto. Ahora, eso no puede ser un gran ejemplo tratar si todo lo que estamos tratando de hacer es acceder la página, no estás enviando su nombre de usuario y contraseña. Pero ¿qué es lo debajo el capó, sobre todo para los sitios web basados ​​en PHP que es también de ser enviado de ida y vuelta cuando usted visita alguna página web si que utiliza el sitio web, por ejemplo, PHP e implementa la funcionalidad como pset7? Lo que estaba siendo enviado de ida y vuelta en los encabezados HTTP que te dio el acceso a esta bonita útil súper mundial en PHP? Audiencia: Cookies. DAVID J. MALAN: Galletas, específicamente cookie de identificación del PHP sess. Así que recuerda, si vamos a, por ejemplo, cs50.harvard.edu de nuevo, pero esta vez, vamos a abrir el Ficha Red, y ahora, hasta aquí, vamos a ir, literalmente, sólo a http://cs50.harvard.edu y luego pulsa Enter. Y luego mirar a la pantalla aquí abajo. Nótese que de hecho llegamos de nuevo un 301 movido permanentemente mensaje, lo que significa que hay una cabecera de ubicación aquí, que ahora se me redirigir a HTTPS. Pero el problema es que, si yo ya tenía una cookie estampada en mi mano prácticamente, como hemos discutido antes, y Yo la especie humana de saberlo, sólo hay que visitar la inseguridad versión, y mi navegador toma sobre sí mismo para demostrar que sello en la mano para la primera solicitud, que es a través de HTTP, cualquier hombre en el medio, cualquier adversario en el medio, teóricamente puede simplemente ver aquellas cabeceras HTTP, simplemente como estamos viendo aquí. Es sólo una vez que estás hablando con un HTTPS URL hace que sello en la mano sí llegar encriptado, al estilo de César o Vigenére, pero con un algoritmo colombófilo completo. Así que aquí, también, incluso si sitios web utilizan HTTPS, nosotros los humanos hemos sido condicionados, gracias a las técnicas de auto-completar y otros, para ni siquiera pensar en las implicaciones potenciales. Ahora, hay formas de evitar esto. Por ejemplo, muchos sitios web se pueden configurar de modo que, una vez que tenga esta mano estampilla, usted puede decirle al navegador, este sello de mano es sólo para las conexiones SSL. El navegador no debe presentar a mí a menos que sea a través de SSL. Sin embargo, muchos sitios web no se moleste con eso. Y al parecer, muchos sitios web ni siquiera se molestan con SSL en absoluto. Así que para saber más sobre eso, no hay en realidad aún más suciedad en esta presentación que un compañero dio en un así llamado negro conferencia sombrero hace un par de años, donde hay incluso otra trucos maliciosos personas han utilizado. Usted puede recordar esta noción de un favicon, que es como un pequeño logo que es a menudo en la ventana del navegador. Bueno, ¿qué ha pasado común entre los chicos malos es para hacer iconos fabulosos que se parecen a lo que? AUDIENCIA: [inaudible]. DAVID J. MALAN: Diga otra vez? AUDIENCIA: Los sitios web. DAVID J. MALAN: No es un sitio web. Así favicon, diminuto icono. ¿Cuál sería el más cosa maliciosa, manipuladora usted puede hacer que su sitio web de icono por defecto parece? AUDIENCIA: Un bloqueo verde. DAVID J. MALAN: ¿Qué es eso? AUDIENCIA: Un poco de bloqueo verde. DAVID J. MALAN: Como un bloqueo verde, exactamente. Así que usted puede tener esta estética de un pequeño candado verde, dando a entender al mundo, oh, estamos asegurar, cuando, de nuevo, todo lo que significa es que usted sabe algo de HTML. Así secuestro de sesión se refiere a exactamente eso. Si tienes a alguien que es tipo de oler las ondas en esta sala aquí o tiene acceso físico a un red y puede ver las cookies, él o ella puede tomar que Cookie de identificación PHP sess. Y entonces, si son lo suficientemente astuto para saber cómo enviar esa cookie como propia sello de la mano con sólo copiar ese valor y el envío de las cabeceras HTTP, Alguien podría muy fácilmente iniciar sesión en cualquiera de los Facebook cuentas o cuentas de Gmail o cuentas de Twitter que están aquí, abiertos en la sala, si usted no está usando SSL y si el sitio es no usar SSL correctamente. Así que la transición a otro vamos. Así que otra historia verdadera. Y esto sólo se rompió en el noticias de una semana o dos atrás. Verizon ha estado haciendo una cosa muy mal, y como mejores personas pueden decir, desde por lo menos 2012, con lo cual, cuando se accede a sitios web a través de un Verizon teléfono móvil, sea cual sea el fabricante que es, que han sido soberbia, según cuenta la historia, inyectar en toda su HTTP el tráfico de su propio encabezado HTTP. Y que las miradas de cabecera así- X-UIDH. UID es como un único identificador o ID de usuario. Y X sólo significa que esta es una costumbre encabezado que no es estándar. Pero lo que esto significa es que, si me levanto, por ejemplo, cualquier sitio web en mi teléfono aquí-- y estoy utilizando Verizon como mi carrier-- a pesar de que mi navegador no podría ser el envío de esta HTTP cabecera, Verizon, tan pronto ya que la señal llega a su torre de teléfono celular en algún lugar, ha sido durante algún tiempo la inyección de este cabecera en todo nuestro tráfico HTTP. ¿Por qué hacen esto? Es de suponer que por razones de localización, por razones de publicidad. Pero la decisión de diseño moronic aquí es que un encabezado HTTP, como ustedes saben desde pset6, es recibida por cualquier servidor web que usted está solicitando el tráfico de. Así que todo este tiempo, si usted ha estado visitando Facebook o Gmail o cualquier sitio web que no utiliza SSL todo el tiempo-- y, de hecho, las dos por suerte ahora hacer-- pero otros sitios web que no utilice SSL todo el tiempo, Verizon tiene esencialmente sido la plantación, por la fuerza, un sello de la mano en todo nuestro manos que aún no vemos, sino más bien, los sitios web de gama hacen. Y lo que no ha sido que duro para cualquier persona en internet la ejecución de un servidor web para se da cuenta, ooh, este es David, o, ooh, ésta es Davin, incluso si somos riguroso sobre la eliminación de nuestras cookies, porque no viene de nosotros. Viene de la portadora. Ellos hacen una búsqueda en su número de teléfono y luego dicen, oh, este es David. Permítanme inyecto un identificador único por lo que que nuestros anunciantes o quienquiera puede no perder de vista esto. Así que esto es realmente muy, muy, muy malo y horrible. Y yo le animaría a echar un vistazo, por ejemplo, en esta dirección, que yo debería renunciar He intentado esto esta mañana. Escribí un pequeño script, lo puso en esta dirección URL, visitado con mi propia Verizon teléfono celular después de encender Wi-Fi apagado. Así que hay que activar Wi-Fi fuera de modo que está utilizando 3G o LTE o similares. Y entonces, si usted visita este URL, todo este guión lo hace para ustedes, si desea jugar, se escupe lo que los encabezados HTTP su teléfono está enviando a nuestro servidor. Y en realidad, para ser justos, hice No ver esto esta mañana, que me hace pensar, ya sea local torre de teléfono celular que estaba conectado a o lo que sea, no lo está haciendo, o que han desistido de hacerlo temporalmente. Sin embargo, para obtener más información, a la cabeza a este URL aquí. Y ahora a esto-- esto cómico podría tener sentido. ¿No? Okay. Bien. Que murió. Bien. Así que echemos un vistazo a un par de más ataques, aunque sólo sea para aumentar la conciencia de y luego ofrecer un par posibles soluciones por lo que eres aún más consciente. Éste hablamos de la otra día, pero no dio un nombre a la misma. Es una falsificación de petición en sitios cruzados, que es una manera elegante de decir excesivamente que engañar a un usuario para que haga clic en una URL como esta, que los trucos en algún comportamiento que que no tienen la intención. En este caso, esto parece estar tratando de engañarme en la venta de mis acciones de Google. Y esto tendrá éxito si Yo, el programador de pset7, no lo han hecho, ¿qué? O, más bien, de forma más general, en lo que casos soy yo vulnerable a un ataque si alguien trucos otro usuario que haga clic en una URL como esta? ¿Sí? AUDIENCIA: Usted no distingues entre GET y POST. DAVID J. MALAN: Good. Si no distinguimos entre GET y POST, y de hecho, si permitimos OBTENER para vender cosas, estamos invitando a este tipo de ataque. Pero todavía podríamos mitigar un poco. Y le comenté, creo, la semana pasada que Amazon, al menos, trata de mitigar este con una técnica eso es bastante sencillo. ¿Qué haría una cosa inteligente hacer estar en su servidor, en lugar de sólo vender a ciegas cualquiera que sea el símbolo que el usuario escribe en el? AUDIENCIA: La confirmación de la clase? DAVID J. MALAN: una pantalla de confirmación, algo que implica la interacción humana por lo que me veo obligado a realizar la llamada sentencia, aunque yo he hecho clic ingenuamente un vínculo que tiene este aspecto y me llevó a la pantalla de celular, en menos me preguntó para confirmar o negar. Pero no un ataque poco frecuente, sobre todo en el llamado phishing o spam como ataques. Ahora, éste es un poco más sutil. Se trata de un ataque cross-site scripting. Y esto sucede si su página web no utiliza el equivalente de htmlspecialchars. Y está tomando la entrada del usuario y sólo ciegamente inyectarlo en una página web, como con la impresión o eco, con-- nuevo-- cabo llamar a algo como htmlspecialchars. Así que supongamos que la página web en pregunta es vulnerable.com. Y supongo que acepta un parámetro llamado q. Mira lo que podría suceder si yo en realidad, un mal tipo, escribir o engañar a un usuario para que visitar una URL que se parece a esto-- q = etiqueta script abierto, cerrado etiqueta script. Y de nuevo, estoy suponiendo que no es vulnerable.com va a resultar peligroso personajes como soportes abiertos en entidades HTML, el símbolo de unión, L-T, cosa punto y coma que usted puede ser que haya visto antes. Pero lo que es el guión o código JavaScript Estoy tratando de engañar a un usuario en la ejecución? Bueno, document.location refiere a la dirección actual de mi navegador. Así que si lo hago document.location =, esto me permite redirigir al usuario en JavaScript a otro sitio web. Es como nuestra función de PHP redirigir, pero hecho en JavaScript. ¿Dónde estoy tratando de enviar al usuario? Bueno, al parecer, badguy.com/log.php, que es una secuencia de comandos, por lo visto, el malo de la película, escribió, que toma un parámetro llamado cookie. Y fíjense, ¿qué hacer yo parecen ser concatenando en el extremo de ese signo igual? Bueno, algo que dice document.cookie. No hemos hablado de esto. Pero resulta que, en JavaScript, al igual que en PHP, se puede acceder a todas las galletas que su navegador lleve a la práctica. Así que el efecto de éste línea de código, si un usuario es engañado para hacer clic en este enlace y el sitio web no vulnerable.com escapar con htmlspecialchars, es que usted tiene sólo efectiva subido a log.php todas sus cookies. Y eso no es siempre problemática que, excepto si una de esas galletas es el ID de sesión, su el llamado sello de mano, que significa badguy.com puede hacer su propio Peticiones HTTP, el envío de la misma mano sello, el mismo encabezado de cookie, e iniciar sesión en cualquier sitio web que estaba visitando, lo que a su este caso es vulnerable.com. Es un cross-site scripting ataque en el sentido que está especie de engañar un sitio en narración otro sitio web sobre información no debe, de hecho, tener acceso a. Muy bien, listo para uno otro detalle preocupante? Muy bien, el mundo es un lugar de miedo, por lo que legítimamente. He aquí una sencilla Ejemplo JavaScript que es en el código fuente de hoy llamada de geolocalización 0 y 1. Y hay un par Tutoriales en línea para esto. Y lo hace de la siguiente si abrir esta página web en Chrome. En primer lugar, no hace nada. Bien, vamos a tratar esto de nuevo. Oh. No, hay que hacer algo. Aceptar, por estar de pie. Vamos a probar esto una vez más. [Inaudible] Ah, bien, no sé por qué el-- oh, el aparato probablemente perdido internet acceso por alguna razón. Muy bien, por lo que me pasa a mí, también. Muy bien, así que aviso ¿qué está pasando aquí. Este críptico mirando URL es sólo uno de servidor CS50, quiere usar mi computadora de ubicación, como físicamente que significa. Y si, de hecho, hago clic en Permitir, vamos a ver qué pasa. Al parecer, esta es mi latitud actual y longitudinal coordina abajo a una resolución bastante bueno. Entonces, ¿cómo he llegado a esto? ¿Cómo funciona este sitio web, como servidor CS50, conocer físicamente en qué parte del mundo Yo estoy, y mucho menos con esa precisión. Bueno, resulta fuera-- vamos sólo mirar source-- de la página que aquí es un montón de HTML en la parte inferior que tiene primera esto-- body onload = "geolocalizar" - sólo una función que escribí. Y yo estoy diciendo, en carga la página, llame Geolocalizar. Y entonces no hay nada en el cuerpo, porque en la cabecera de la página, darse cuenta de lo que tengo aquí. Aquí está mi función Geolocalizar. Y esto es sólo un error checking-- si el tipo de navigator.geolocation no está definido. Así JavaScript tiene esta mecanismo en el que se puede decir, ¿cuál es la tipo de esta variable? Y si no es undefined-- que significa que es un poco de value-- Voy a llamar a navigator.geolocation.getCurrentPosition y luego de devolución de llamada. Qué es esto? Así que, en general, lo que es un devolución de llamada, sólo para ser claro? Es posible que haya encontrado esto ya en pset8. Devolución de llamada es un genérico plazo para hacer qué? Se siente como me acaba hoy. AUDIENCIA: [inaudible]. DAVID J. MALAN: Exactamente, una función que debe ser llamado sólo cuando se dispone de datos. Esta llamada al navegador, conseguir mi actual posición, podría tomar un milisegundo, puede ser que tome un minuto. Lo que esto significa es que estamos contando el método get getCurrentPosition, llamar a esta función de devolución de llamada, que literalmente llamado de devolución de llamada por simplicidad, que al parecer es este de aquí. Y la forma en getCurrentPosition funciona, simplemente mediante la lectura de la documentación por algún código JavaScript en línea, es que exige que la llamada de devolución de llamada función, pasa en es un objeto de JavaScript, dentro de los cuales es .coords.latitude y .coords.longitude, que es exactamente cómo, entonces, cuando volví a cargar esta página, Tuve la oportunidad de ver a mi lugar aquí. Ahora, por lo menos había una defensa aquí. Antes de que yo visité esta página, cuando efectivamente trabajadas, lo que estaba por lo menos me incitan para? AUDIENCIA: [inaudible]. DAVID J. MALAN: Sí o no-- hacer desea permitir o negar esto? Pero piensa, también, acerca de los hábitos ustedes probablemente han adoptado, tanto en sus teléfonos y sus navegadores. Muchos de nosotros, a mí mismo incluido, son probablemente bastante predispuestos estos days-- usted ver un pop-up, simplemente Enter, Aceptar, Aprobar, Permitir. Y cada vez más, usted puede poner en riesgo por esas razones. Así que de hecho, no era este maravilloso insecto unos pocos años ago-- o la falta de feature-- que iTunes tenía hace unos años, por lo que, si usted tenía un teléfono celular, y que era un iPhone, y que dejó su casa y, por tanto, la vuelta al mundo o el barrio, durante todo este tiempo, su teléfono estaba registrando donde se encuentre a través de GPS. Y esto es en realidad revelada, y la gente amable de esperar esto ahora. El teléfono sabe dónde estás. Pero el problema era que, cuando estabas copia de seguridad el teléfono para iTunes-- esto fue antes los días de iCloud, que es para mejor o para worse-- estaba siendo almacenados los datos en iTunes, completamente sin cifrar. Así que si usted tiene una familia o compañeros de habitación o un vecino malintencionado que es curioso acerca de literalmente todos los GPS coordinar alguna vez has estado en, él o ella podría simplemente sentarse en iTunes, ejecute algún tipo de software que fue libremente y mapas disponibles producen les gusta esto. De hecho, esto es lo que producida de mi propio teléfono. Me conecté en. Y parece que, sobre la base en los puntos azules allí, que es donde la mayor parte de las coordenadas GPS eran conectado por iTunes que yo era en el noreste allí. Pero al parecer, viajaba alrededor un poco, incluso dentro de Massachusetts. Así que ese es el puerto de Boston hay a la derecha. Eso es algo de Cambridge y Boston, en donde está más oscuro. Y de vez en cuando, me gustaría correr mandados a una geografía más grande. Pero iTunes, desde hace años, tenía, como mejor Me di cuenta, todos estos datos sobre mí. Se podría decir que, ese año, yo era en realidad viajar mucho entre Boston y Nueva York, que van y vienen y de ida y vuelta. Y, de hecho, esto me es en Amtrak, de vuelta y adelante, atrás y adelante, un poco. Todo eso se está conectado y almacena encriptada en mi equipo para cualquier persona que pueda tener acceso a mi ordenador. Esta era preocupante. No sabía por qué estaba en Pennsylvania o por qué mi teléfono estaba en Pennsylvania, al parecer, bastante denso. Y entonces, por fin, miré en mi Gcal, y, oh, visitado CMU, Carnegie Mellon, en el momento. Y ¡uf, ese tipo de explicó que blip. Y luego, si hace zoom fuera más lejos, se puede veo que visité San Francisco una o más veces, a continuación, y que incluso tenía una escala en lo que Creo que es Las Vegas, allá abajo. Así que todo esto-- sólo un escala, en el aeropuerto. AUDIENCIA: [Risas] Así que esto es sólo para decir que estos problemas, honestamente, son omnipresentes. Y sólo se siente cada vez más como si hubiera más y más de esto se da a conocer, que es probablemente una buena cosa. Me atrevo a decir, el mundo no es cada vez peor en el software de escritura. Estamos cada vez mejor, con suerte, al notar lo mal que determinado software es que estamos usando. Y por suerte, algunos las empresas están empezando a ser responsables de esto. Pero, ¿qué tipo de defensas se puede tener en cuenta? Así que además de gestores de contraseña, al igual que 1Password y LastPass y otros, además de sólo cambiar sus contraseñas y dar con los aleatorios el uso de software como que, también puedes probar lo mejor que pueda para cifrar todo su tráfico para al menos reducir la zona de una amenaza. Así, por ejemplo, como afiliados de Harvard, todo lo que puede ir a vpn.harvard.edu e inicie sesión con su ID de Harvard y su PIN. Y esto va a establecer un seguro conexión entre usted y Harvard. Ahora, eso no lo hace necesariamente protegerte contra cualquier amenaza que se encuentran entre Harvard y Facebook o Harvard y Gmail. Pero si usted está sentado en un aeropuerto o eres sentado en Starbucks o eres sentado en casa de un amigo, y que realmente no confía en ellos o su configuración de su enrutador doméstico, al menos se puede establecer una conexión segura a una entidad como este lugar que es probablemente un poco mejor asegurado de algo así como un Starbucks o similares. Y lo que esto hace es establece, de nuevo, cifrado entre usted y el punto final. Incluso más elegante son cosas como esta. Así que algunos de ustedes ya pueden estar familiarizado con Tor, que es este tipo de forma anónima red, por lo que un montón de gente, si corren este software, ruta posteriormente su internet tráfico a través de la otra. Así que el punto es más corto ya no entre A y B. Pero podría ser todo el su lugar para que usted es esencialmente que cubre las pistas de uno y dejando menos de un récord en cuanto a donde su HTTP tráfico viene, porque va a través de un montón de otras personas ordenadores portátiles o de sobremesa, para bien o para mal. Pero incluso esto no es una cosa segura. Algunos de ustedes pueden recordar el año pasado la amenaza de bomba que se llamaba en. Y fue rastreado en última instancia a una usuario que habían utilizado esta red aquí. Y la captura allí, por lo que recuerdo, es, si no hay que muchas otras personas utilizando un software como este o utilizando este puerto y protocolo, que no es tan difícil para una red de hasta averiguar quién, con cierta probabilidad, era de hecho anonimato su tráfico. Y yo no sé si esas eran la datos reales en cuestión. Pero, sin duda, se dan cuenta de que ninguno de éstas son soluciones de éxito seguro, también. Y el objetivo aquí hoy es para menos, hacerle pensar sobre estas cosas y dar con técnicas para defenderse contra ellos. ¿Tiene preguntas sobre todas las amenazas que le esperan por ahí, y en esta lista? ¿Sí? AUDIENCIA: ¿Qué tan seguro hacer esperamos que el promedio [? sitio web para ser,?] como el proyecto promedio CS50? DAVID J. MALAN: La proyecto promedio CS50? Siempre se demuestra cada año que algunos proyectos finales CS50 no son especialmente seguro. Por lo general, se trata de algún compañero de cuarto o hallmate que las cifras de esto mediante el envío de peticiones a su proyecto. Answer-- Short cuántos sitios web son seguros? Estoy recogiendo en la actualidad anomalías. Al igual que era sólo una casualidad que me di cuenta de que este sitio web He estado pidiendo estos francamente deliciosos arreglos de-- y no estoy seguro de que voy deje de usar su sitio web; Yo podría cambiar mi contraseña más regularly-- no está claro hasta qué punto vulnerables todos estos various-- esta es cubierta de chocolate en realidad. La respuesta corta, no puedo responder a esa efectivamente, aparte de decir que No fue tan difícil para mí encontrar algunos de estos ejemplos sólo por el bien de la discusión en clase. Y sólo mantener un ojo en Google Noticias y otros recursos traerá aún más de este tipo de cosas a la luz. Muy bien, vamos a llegar a la conclusión con esta precuela que el equipo de CS50 ha preparado para ti en previsión de la CS50 hackathon. Y en su camino en un momento, se sirve fruta. [REPRODUCCIÓN DE VÍDEO] [MÚSICA FERGIE, Q CONSEJO, Y GoonRock, "A Pequeña fiesta nunca mató a NADIE (ALL WE GOT) "] - [RONQUIDOS] [FIN REPRODUCCIÓN DE VÍDEO] DAVID J. MALAN: Eso es todo por CS50. Nos vemos el miércoles. [MÚSICA - SKRILLEX, "IMMA 'Pruébalo!"]