DAVID J. مالان: این CS50 است، و این آغاز هفته 10 است. شما نمیتوانید به یاد آورید که ما نشان داده ایم بر روی صفحه نمایش یک چاپگر 3D، که این دستگاه این است که قرقره پلاستیک طول می کشد و سپس آن را با حرارت دادن آن extrudes و ذوب شدن آن به طوری که ما پس از آن می توانید تشکیل ارتش چانگ از فیل ها، به عنوان مثال. 

بنابراین در لورت خانه، هر چند، به تازگی، من با یکی از چت بود خود را همکلاسی و دوست عزیز چانگ نام میشل، که در واقع در interned این شرکت دیگر در سال گذشته که یک روش متفاوت برای در واقع ایجاد اشیاء سه بعدی، مثل این فیل کوچک در اینجا. به طور خاص، راه این کار این این است که یک نمونه از چیزی نام های stereolithography، به موجب آن در این حوضه از رزین یا مایع وجود دارد، و سپس یک لیزر با اعتصاب هایی که مایع، و به تدریج، دستگاه آسانسور و بالابر و آسانسور چیز که شما چاپ، مثل فیل، که مایع جامد تبدیل می شود. و در نتیجه، در واقع، چیزی که است بسیار قویتر از برخی از پلاستیک جالب برخی از شما ممکن است داشته اند. 

و چه چانگ مهربانی برای ما در اینجا انجام داد انجام یک مرور زمان با استفاده از عکس در طول یک ساعت یا بیشتر، احتمالا، به تولید این پسر اینجا. آیا کسی که هرگز تا قبل از آمدن خواهم به ضربه شروع به این فیلم؟ اجازه بدهید با رفتن، چگونه در مورد وجود دارد. بیا تا. همه راست. و شما؟ لوقا: نام من لوقا [نامفهوم]. DAVID J. مالان: سلام، لوقا. از ملاقات شما خوشبختم. 

لوقا: از ملاقات شما خوشبختم. رسید او را در حال اجرا برای UC. 

DAVID J. مالان: من می دانم، ما در حال تلاش برای ترویج نیست. همه حق است، بنابراین لوقا، همه شما باید انجام دهید در اینجا در CS50 است ضربه نوار فضا برای چاپ این فیل. [VIDEO PLAYBACK] - [MACHINE WHIRRING] - [CRASH] - [BOOM] - [CRASH] [END پخش ویدئو] DAVID J. مالان: به طوری که دقیقا آنچه آن را مانند به 3D چاپ است. و در اینجا فیل شما است. تشکر داوطلبانه. همه راست. بنابراین دوباره، در خصوصیات پروژه نهایی، این است که سخت افزار در دسترس به شما بچه ها است، به چند دلیل، پروژه خود را تا به برخی از تقاطع نرم افزار و سخت افزار، متوجه است که این منابع در حال حاضر. 

من می خواستم به یک لحظه به لمس بر مقاله زرشکی که بیرون آمد اواخر شب گذشته، که به که این شخص اعلام، دیوید جانسون، که ارشد شده است مربی تجارت الکترونیکی 10 برای مدتی، ترک دانشگاه هاروارد در پایان سال تحصیلی. و من فقط می خواستم یک لحظه، صادقانه، برای تشکر از دیوید در مقابل CS50. او شده است یک مربی از انواع به ما در طول سال. 

و من دوست دارم که احساس می کنیم، CS50، دارند نه با EC 10 بزرگ در اینجا، از آنجایی که آنها درست قبل از ما هستند. و او و تمام تیم در آن Ec 10 است زیبا و مهربان بوده است، رک و پوست کنده، همانطور که ما در تمام تجهیزات ما پس زدن دهنه اسب هر هفته، و سال پیش، ارائه یک معامله بزرگ وکیل به عنوان ما کنجکاو که چگونه آنها عمل از Ec 10. بنابراین ما لطف و تحسین دیوید جانسون. 

[تشویق حضار] 

در حال حاضر، unrelatedly، بنابراین پایان در واقع نزدیک است. ما در اینجا در هفته 10. و ما فقط فقط باید چند هفته رسمی در اینجا در کلاس سمت چپ، به دنبال توسط یک زن و شوهر از وقایع. بنابراین به شما احساس چه چیزی را در آسمان شهر، در اینجا ما امروز می باشد. 

این چهارشنبه، به یاد بیاورید، ما یک سخنرانی مهمان باید توسط هیچ یک دیگر از خود مایکروسافت استیو بالمر. اگر شما هنوز به نرفته cs50.harvard.edu/register، انجام این کار، از فضای محدود خواهد بود. و آنها را بررسی خواهد کرد شناسه در درب این روز است. اگر شما در اینجا نیست در هفته گذشته، من فکر کردم من می خواهم شما با نگاه های مختلف کسی را دست انداختن در استیو و شور و هیجان است که انتظار ما در روز چهارشنبه. 

[VIDEO PLAYBACK] 

-Passion. 

-We're رفتن به هاردکور hardcore--. 

-Innovator. 

-Bill گفت، شما آن را می کنید. ما قصد داریم برای قرار دادن کامپیوتر بر روی هر میز و در هر خانه، که شد شعار برای شرکت می باشد. من قسم می خورم، بیل آن را اختراع آن شب واقعا من را برخی از چشم انداز چرا باید بگویم بله. من هرگز به عقب نگاه کرد ام، در واقع، پس از آن. 

-Fresh خارج از دانشگاه، او راه اندازی نوپای پیوست و کمک کرد تا به یکی از امریکا را رشد کسب و کار موفق ترین همیشه. زندگی و کسب و کار درس های آموخته شده در طول راه به او اجازه دهید به خود شور و شوق دوران کودکی و عشق است. و این تجربه را آماده کرده است او برای چالش بعدی خود را در زندگی. 

-Nothing می شود در رونق way-- ما! را به آینده هاردکور! برو کلیپرز! 

-این استیو بالمر است، "به گفته خود من." [END پخش ویدئو] DAVID J. مالان: --این چهارشنبه به CS50. سر دوباره به این URL در اینجا. همانطور که برای چه چیز دیگری است در آسمان شهر، هفته آینده، هیچ سخنرانی در روز دوشنبه. اما ما خواهد شد به شرح زیر است که توسط مسابقه یکی در روز چهارشنبه. برو به صفحه خانگی CS50 برای جزئیات در افراد، مکان ها و زمان برای همه از proctoring مختلف تدارکات و مانند آن، و همچنین در مورد بررسی جلسات که آینده هستند. و پس از آن، در نهایت، در روز دوشنبه، روز قبل از هفته شکرگزاری شکستن، متوجه آن خواهد شد سخنرانی نهایی ما است. ما کیک و بزرگ خدمت می کنند معامله از هیجان، ما امیدواریم. 

در حال حاضر، یک زن و شوهر از به روز رسانی دیگر. به خاطر داشته باشید که وضعیت گزارش شده است که واقعا فقط که یک تعامل گاه به گاه با TF خود را به افتخار نه فقط دولت تا چه حد همراه با شما پروژه نهایی شما هستند، یا حداقل به عنوان یک عقل بررسی کنید که شما باید شود که نزدیک اشاره پس از مدت کوتاهی. هکاتون سپس شرح زیر است که. تحقق بخشیدن به هکاتون فرصتی نه برای شروع پروژه نهایی خود را، اما به معنای یک فرصت در وسط و یا سمت است پایان پروژه نهایی خود را، با اجرای چند دلیل روز بعد، پس از عادلانه CS50. 

در حال حاضر، تولید CS50 است تیم، دو سال پیش، کنار هم قرار دادن یک تیزر برای عادلانه CS50 که ما فکر کردم ما شما امروز نشان می دهد، چرا که آنها سخت در محل کار بوده است در یک prequel برای آن، یک ویدیو جدید که ما امروز با نتیجه. اما در اینجا چیزی است که شما در انتظار برای عادلانه CS50 این سال است. [VIDEO PLAYBACK] - [CELL PHONE زنگ] [MUSIC "تم از: ماموریت غیر ممکن"] [END پخش ویدئو] DAVID J. مالان: به طوری که دقیقا چگونه ما ارسالی پروژه نهایی نزدیک است. زن و شوهر از هم اکنون teasers-- اگر شما می خواهم برای پیوستن به نیک در اینجا برای ناهار، به طور معمول، این جمعه، سر به این URL در اینجا. علاوه بر این، اگر شما می خواهم برای پیوستن به نیک و یا این نیک یا این آلیسون و یا هر اعضای تیم CS50 است، درک است که، به زودی پس از پایان مدت است، CS50 در حال حاضر خواهد استخدام شود برای تیم سال آینده، برای CAS، TFS، طراحان، تولید کنندگان، محققان، و موقعیت های دیگر که در اینجا عمل CS50 هر دو در جلو و پشت صحنه. بنابراین اگر این ممکن است مورد علاقه به شما، به این URL در اینجا سر. و دانش آموزان راحت تر، کمتر و راحت، و در جایی در بین هستند به طور یکسان همه خوش آمدید و تشویق به اعمال می شود. 

پس از آن زمان کامل است که، هیچ بود شوخی، امروز صبح، وقتی که بیدار شدم، من این اسپم اینجا در صندوق پستی من بود. در واقع تضعیف از طریق فیلتر اسپم جیمیل به نحوی و در صندوق پستی واقعی من به پایان رسید. و آن را می گوید، "صندوق پستی عزیز کاربر، شما در حال حاضر هستید ارتقا تا 4 گیگابایت از فضای. لطفا به حساب خود وارد شوید به منظور اعتبار E-فضا. " 

و پس از آن این آبی زیبا وجود دارد لینک فریبنده وجود دارد با کلیک بر روی برای هیئت علمی و کارکنان، که پس از آن من به رهبری به یک صفحه زیبا و مشروع، که از من خواست تا آنها را به نام من را و آدرس ایمیل و، البته، رمز عبور به اعتبار که من هستم و غیره. اما البته، به عنوان این است که همیشه مورد، شما در این صفحه فرود می رسند، و البته، وجود دارد حداقل یک خطای تایپی، که به نظر می رسد ناخن در تابوت از هر یک از این کلاهبرداری ها. و ما در پست، شاید، برخی دیگر از پیوندهای به این نوع از صفحه نمایش عکس در آینده است. اما امیدوارم، بسیاری از افراد در این اتاق را نمی clicked-- و یا حتی اگر شما کلیک کرده اید لینک های مانند این، شما تا آنجا که به نرفته با پر کردن آن فرم ها و غیره. در واقع، آن را OK اگر شما داشته باشد. ما سعی خواهیم کرد به تعمیر که امروز، به دلیل، در واقع، مکالمه امروز است در مورد امنیت. 

و در واقع، یکی از اهداف CS50 است خیلی به شما یاد می دهد و یا CE PHP یا جاوا اسکریپت و یا SQL و یا هر یک از این زمینه ای جزئیات پیاده سازی. اما آن را به شما به عنوان انسان توانمند فقط به تصمیم گیری های دقیق آن را به عنوان را مربوط به فن آوری پایین جاده به طوری که، این که آیا شما یک مهندس یا انسان و یا دانشمند و یا هر نقش دیگر، شما تصمیم گیری آگاهانه در مورد استفاده از محاسبات خود را، و یا اگر شما در هستی تصمیم گیری موقعیت، در سیاست، به ویژه، شما در حال ساخت از حد، تصمیم گیری بسیار بهتر از بسیاری از انسان امروز داشته است. و ما این کار را با انجام راه چند مثال. 

اول، من شگفت زده شد و نه اخیرا زیر را برای کشف. بنابراین رمزهای عبور، البته، همان چیزی است که بسیاری از ما برای محافظت از استفاده data-- ایمیل ما، چت، و انواع منابع مانند آن. و فقط با awkward-- نشان می دهد نه دست، اما به نظر می رسد خجالت از شرم، چگونه بسیاری از شما با استفاده از رمز عبور مشابه در بسیاری از وب سایت های مختلف؟ 

اوه، OK، بنابراین ما دست انجام دهد. OK، بنابراین تعداد زیادی از شما انجام دهد. هر کسی که این کار را، فقط چرا؟ و چه چیزی؟ آره؟ رسید این آسان به خاطر داشته باشید، زیرا شما لازم نیست به خاطر داشته باشید [نامفهوم]. DAVID J. مالان: آره، آن را آسان به یاد داشته باشید. این کاملا معقول است، رفتار عقلایی، حتی اگر خطر شما در حال قرار دادن خود در در این موارد فقط یک یا بیشتر از آن وب سایت آسیب پذیر به هک و یا به است نا امن و یا رمز عبور خود را فقط تا رفو قابل حدس زدن، هر کسی می تواند آن را کشف. نه تنها یک حساب است به خطر بیافتد، اما در تئوری، هر حساب شما را بر روی اینترنت داشته باشد. بنابراین من می دانم که من ممکن است امروز می گویند، نمی کنند استفاده از رمز عبور مشابه در همه جا، اما این خیلی آسان تر از انجام گفت. اما تکنیک برای وجود دارد کاهش نگرانی که خاص است. 

در حال حاضر، من رخ می دهد، به عنوان مثال، به استفاده از برنامه ای به نام 1Password. یکی دیگر از محبوب است که به نام برنامه LastPass. و یک دسته از استفاده کارکنان CS50 یک یا بیشتر از این نوع ابزار. و داستان کوتاه مدت، یک غذای آماده برای امروز باید باشد، بله، شما ممکن است همان رمز عبور در همه جا، اما آن را بسیار آسان برای دیگر انجام دهد. به عنوان مثال، این روزها، من می دانم شاید یکی از ده ها یا صدها من از کلمات عبور. همه کلمه های عبور دیگر من هستند شبه تصادفی تولید شده توسط یکی از این برنامه ها در اینجا. و به طور خلاصه، و حتی هر چند بسیاری از این برنامه ها تمایل به با کمی هزینه در آمده است، شما می توانید یک برنامه مثل این نصب، بعد از آن شما می ذخیره همه نام های کاربری و کلمه عبور خود را در داخل این برنامه در خود مک و یا PC و یا فلان چیز، و سپس از آن خواهد بود رمزگذاری بر روی کامپیوتر شما با چه امید رمز عبور طولانی. بنابراین من یک دسته کامل از کلمه عبور برای وب سایت های منحصر به فرد، و پس از آن من واقعا رمز عبور طولانی که من استفاده به باز کردن همه کسانی که کلمات عبور دیگر. و چه خوب است در مورد نرم افزار مانند این است که، در هنگام مراجعه به یک وب سایت است که درخواست نام کاربری و رمز عبور خود را، این روزها، من نه از نوع در نام کاربری و کلمه عبور، به دلیل، دوباره، من حتی نمی دانند چه بسیاری از کلمات عبور من هستند. من به جای یک صفحه کلید ضربه میانبر، که نتیجه آن است به ماشه این نرم افزار به من برای رمز عبور کارشناسی ارشد من تحریک کند. من پس از آن نوع است که یکی از بزرگ رمز عبور را در، و پس از آن مرورگر به طور خودکار در پر رمز عبور من چیست. پس به راستی، اگر شما هیچ چیز دیگری به دور از امروز از لحاظ کلمه عبور، این نرم افزار که ارزش هستند دانلود یا سرمایه گذاری در تا که شما حداقل می توانید استراحت که عادت خاص است. و اگر شما از نوع هستی که با استفاده از ارسال آن اشاره یا like-- و شانس هستند که حداقل یکی از شما is-- که عادت، بیش از حد، کافی است که گفته، باید شکسته شود. 

در حال حاضر، من به طور اتفاقی به کشف، به عنوان یک نتیجه استفاده از نرم افزار، به شرح زیر است. من سفارش یک آرایش خوراکی، این سبد از میوه، به تازگی. و من ضربه خاص صفحه کلید من میانبر برای ورود به وب سایت. و نرم افزار باعث پاپ آپ که گفت، آیا شما مطمئن شما می خواهید من به صورت خودکار این نام کاربری و رمز عبور ارائه کنم؟ به دلیل ارتباط نا امن است. 

ارتباط نیست با استفاده از HTTPS، برای امن، با استفاده از پروتکل که شناخته شده به عنوان SSL، لایه امن سوکت. و در واقع، اگر شما در نگاه در بالا سمت چپ از این وب سایت، آن را فقط www.ediblearrangements.com، هیچ HTTPS، که خیلی خوب نیست. 

در حال حاضر، من curious-- شاید این فقط یک اشکال در نرم افزار است. مطمئنا، برخی از وب سایت ها مانند این است که بسیاری از ما می دانیم از حداقل با استفاده از رمزگذاری و یا HTTPS URL ها را به شما وارد شوید. بنابراین من کمی کنجکاو شدم و امروز صبح. و بیرون آمدم، مهارت CS50 من، من باز کروم بازرس. آن را حتی بسیاری از مهارت نیست. این فقط ضربه صفحه کلید سمت راست میانبر برای باز کردن این تا. و در اینجا یک پنجره بزرگ است بازرس کروم. 

اما آنچه در واقع یک کمی غم انگیز و مضحک این دو خط در اینجا بود. تا در بالا، متوجه URL به که نام کاربری و رمز من ارسال شد. به من اجازه زوم. در این جا بود. و همه از آن است مرتب کردن بر اساس علاقه، به غیر از چیزی که تمام راه را در در سمت چپ، که با http شروع می شود: //. و به این ترتیب پس از آن، OK، شاید آنها فقط ارسال نام کاربری من است که مانند یک معامله بزرگ نیست. شاید رمز عبور من بعد فرستاده می شود. این امر می تواند نوع تصمیم طراحی جالب. 

اما نه. اگر شما پس از آن به درخواست نگاه حمل بار، نام کاربری و رمز عبور من sent-- و من را مسخره کردند این برای slide-- در واقع در روشن فرستاده شدند. بنابراین شما را به این وب سایت بروید و خاص سفارش یک آرایش خوراکی مانند این، و در واقع، ظاهرا، برای تمام این زمان من دستور از آنها، نام کاربری و رمز عبور خود را است که در سراسر در روشن. پس صادقانه، این است که کاملا غیر قابل قبول. و آن چنان بی اهمیت به اجتناب از همه چیز مثل این به عنوان طراح یک وب سایت و به عنوان برنامه نویس وب سایت. 

اما غذای آماده در اینجا برای ما به عنوان کاربران از وب سایت فقط به قدر همه آن طول می کشد برای یک طراحی احمق تصمیم گیری، تصمیم گیری طراحی غیر قابل توجیه، به طوری که در حال حاضر، اگر شما می دانید رمز عبور من است "قرمز" در این وب سایت، شما احتمالا فقط به یک دسته کامل از رو وب سایت های دیگر است که من در حال حاضر. و بسیار از وجود ندارد دفاع در برابر که غیر از آنچه چانگ تو امروز صبح. او به ترتیبات خوراکی، رفت که است در خیابان در کمبریج قرار دارد، و جسمی این برای ما خریداری شده است. که بسیار امن تر از بود با استفاده از وب سایت در این مورد. 

اما جزئیات را به نگه داشتن چشم را برای در واقع آنچه در مرورگر تا بالا وجود دارد. اما حتی این می تواند یک کمی فریبنده. بنابراین یکی دیگر از جالب به عنوان مثال و راه دفاع از در برابر this-- و در واقع، اجازه دهید انجام first-- که راه دفاع از در برابر این یک تکنیک است که مردم امنیت احراز هویت دو عاملی تماس بگیرید. 

آیا کسی می داند چه راه حل به مشکلات مانند این بدان معنی است؟ احراز هویت دو عامل چیست؟ یا به عبارت دیگر، چگونه بسیاری از شما با استفاده از آن؟ OK، بنابراین زن و شوهر از افراد خجالتی. اما آره. من تو را دیدم دست خود را بالا برود. احراز هویت دو عامل چیست؟ 

رسید در واقع، علاوه بر به تایپ کردن در رمز عبور خود را، شما همچنین می ثانویه [نامفهوم] دارند به تلفن خود را از طریق پیام متنی ارسال در [نامفهوم]. DAVID J. مالان: دقیقا. علاوه بر این به نوعی اصلی از احراز هویت، مانند رمز عبور، شما برای ثانویه خواسته عامل است که به طور معمول چیزی است که شما از لحاظ جسمی در شما، هر چند که می تواند چیز دیگری در دسترس نباشد. و این چیزی است که به طور معمول تلفن همراه این روزها که می کنید یک پیام متنی به طور موقت که می گوید فرستاده "کد عبور موقت خود را 12345. است" 

بنابراین علاوه بر من رمز عبور "قرمز"، من هم به تایپ در هر وب سایت به من texted. و یا اگر شما این را با بانک و یا حساب سرمایه گذاری، شما گاهی اوقات این داشته دانگل کمی که در واقع یک شبه تصادفی- مولد عدد ساخته شده را به آنها، اما هر دو دستگاه و بانک می دانید که چه دانه های اولیه خود را است به طوری که آنها می دانند، حتی به عنوان کد کمی در فوب کلیدی خود را کمی راهپیمایی پیش رو هر دقیقه یا دو، تغییر ارزش ها، بنابراین آیا این تغییر ارزش بر روی سرور بانک به طوری که آنها می توانند به همین ترتیب تصدیق شما، نه تنها با رمز عبور خود را، اما با کد موقت است. در حال حاضر، شما در واقع می تواند این کار را در گوگل. و صادقانه بگویم، این است که عادت خوب برای وارد شدن، به خصوص اگر شما با استفاده از جیمیل در همه زمان ها در یک مرورگر. اگر شما به این URL در اینجا، این است که در رفتن اسلاید آنلاین امروز، و پس از آن با کلیک بر روی تأیید صحت 2 مرحلهای، چیزی واقعی وجود دارد. شما باعث می شود که به آنها شماره تلفن همراه خود را. و پس از آن، هر زمان که شما را به ورود به سیستم جیمیل، نه تنها خواسته رمز عبور خود، بلکه برای کد کمی می شود که به تلفن شما ارسال می شود به طور موقت. و تا زمانی که شما کوکی ها را فعال کنید، و تا زمانی که شما به صراحت از سیستم خارج شوید، شما فقط باید برای انجام این کار یک بار در چندی، مانند وقتی که شما نشستن در یک کامپیوتر جدید. 

و حرکت صعودی در اینجا، بیش از حد، است، اگر شما نشستن در برخی از سبک کافی نت کامپیوتر و یا فقط یک کامپیوتر دوست، حتی در صورتی که دوستان بدتر یا ندانسته تا به برخی از ظبط صفحه کلید نصب شده بر روی کامپیوتر خود، به طوری که همه چیز شما نوع در سیستم ثبت، حداقل که عامل دوم، که کد موقت، زودگذر است. بنابراین او و یا هر کس است به خطر بیافتد کامپیوتر نمی تواند به شما ورود پس از آن، حتی اگر هر چیز دیگری آسیب پذیر بود و یا حتی تکه تکه کردن در دسترس نباشد. فیس بوک این، بیش از حد، با URL در اینجا، که در آن شما می توانید بر روی ورود به آیین را کلیک کنید. بنابراین در اینجا، بیش از حد، اگر اینکار را نکنید می خواهید دوستان را به بهم زدن مردم، شما نمی خواهید به مجبور شود در فیس بوک و یا ارسال به روز رسانی وضعیت را برای شما، احراز هویت دو عاملی در اینجا یک چیز خوب است که احتمالا. و پس از آن این وجود دارد روش دیگر در دسترس نباشد، فقط حسابرسی است که حتی چیز خوبی برای ما انسان ها، اگر دو عامل ثابت آزار دهنده، که، مسلما، آن می توانید، و یا آن را فقط در برخی از وب سایت، حداقل نگه داشتن چشم در اگر و وقتی که شما در حال ورود به سایت، در صورتی که به شما اجازه می، یک تکنیک خوب است، بیش از حد. بنابراین فیس بوک نیز به شما می دهد این اطلاعیه ورود به ویژگی، به موجب آن هر زمان فیس بوک متوجه، HM، دیوید است در برخی از کامپیوتر و یا تلفن به سیستم وارد که ما قبل از از دیده ام هرگز آدرس IP که به نظر می رسد نا آشنا، آنها حداقل به شما ارسال ایمیل به هر آدرس ایمیل شما در فایل داریم، گفت: این نگاه مشکوک؟ اگر چنین است، رمز عبور خود را فورا تغییر دهید. و به این ترتیب وجود دارد، بیش از حد، فقط رفتار حسابرسی حتی بعد از اینکه شما بوده ام به خطر بیافتد، می تواند حداقل محدود کردن پنجره در طول که شما در معرض خطر است. 

همه حق است، هر گونه سوال در چیزهای که تا کنون؟ امروز روز برای به دست آوردن تمام است پارانویا خود را تایید و یا تکذیب کرد. که عمدتا تایید، متاسفانه. آره؟ 

رسید [نامفهوم] تلفن، چه می شود اگر معافیت های گوشی خود را، و سپس آن را همیشه دشوار به verify-- 

DAVID J. مالان: درست است. 

رسید یا اگر شما در یک متفاوت هستند کشور، و آنها را به شما اجازه نمی ورود به سیستم به دلیل [نامفهوم]. DAVID J. مالان: کاملا. و به این ترتیب این اضافی هزینه های که شما متحمل می شوند. همیشه این موضوع وجود دارد از تجارت کردن، بعد از همه. و پس از آن، اگر شما تلفن خود را از دست بدهد، اگر خراب شود، اگر شما در خارج از کشور هستید، یا شما فقط یک ندارد سیگنال، مانند 3G و یا LTE دهنده سیگنال قرار دارند، شما ممکن است در واقع نه قادر به تصدیق. 

بنابراین دوباره، این دو تجارت آف هستند. و گاهی اوقات، می تواند ایجاد مقدار زیادی از کار را برای شما به عنوان یک نتیجه. اما این واقعا بستگی دارد، پس از آن، در چه انتظار می رود قیمت به شما است از چیزی بودن در معرض خطر در دسترس نباشد. 

بنابراین SSL، پس از آن، این روش این است که همه ما به طور کلی برای اعطا و یا فرض کنیم وجود دارد، حتی اگر که به وضوح چنین نیست. و شما هنوز هم می تواند گمراه کننده مردم، هر چند، حتی با این. بنابراین در اینجا یک مثال از یک بانک است. 

این بانک مرکزی امریکا است. یک دسته کامل از این وجود دارد در میدان هاروارد و فراتر از آن. و توجه کنید که در بالا بسیار از صفحه نمایش، وجود دارد، در واقع، HTTPS. و آن را حتی سبز و برجسته برای ما نشان می دهد که این در واقع وب سایت مشروع امن، و یا پس ما آموزش داده شده است به این باور است. 

در حال حاضر، علاوه بر این که، هر چند، توجه کنید که، اگر ما بزرگ نمایی، در اینجا، جایی که این چیزی که وجود دارد شما را وادار به ورود در. این قفل به چه معنی راست وجود دارد، در کنار نام کاربری من بی درنگ؟ این بسیار رایج در وب سایت می باشد، بیش از حد. این قفل به چه معناست؟ به نظر میرسد شما مثل شما می دانم. 

رسید این هیچ معنی ندارد. 

DAVID J. مالان: این هیچ چیزی نیست. این بدان معنی است که بانک مرکزی امریکا می داند که چگونه برای نوشتن HTML با برچسب تصویر، درست است؟ این واقعا به معنای چیزی، چرا که حتی ما، با استفاده از همان روز اول از نگاه ما در HTML، می توانید کد یک صفحه با یک پس زمینه قرمز و یک تصویر، مانند GIF یا فلان چیز، که اتفاق می افتد به مانند یک قفل است. و با این حال، این فوق العاده است در وب سایت های مشترک، چون ما آموزش داده شده است به فرض که، آه، قفل به معنی امن، هنگامی که آن را واقعا فقط به این معنی است که شما می دانید HTML. 

به عنوان مثال، در روز، من می توانم فقط این را در وب سایت من، ادعا آن را امن، و درخواست، به طور موثر، برای نام کاربری و کلمه عبور مردم است. بنابراین به دنبال در URL است حداقل یک نشانه بهتر، چرا که به کروم ساخته شده است یا هر مرورگری که استفاده میکنید. اما حتی پس از آن، گاهی اوقات همه چیز می تواند به اشتباه. و در واقع، شما ممکن است همیشه نمی HTTPS را ببینید، چه رسد به رنگ سبز. 

آیا هیچ یک از شما تا به حال مشاهده صفحه نمایش شبیه به این؟ شما ممکن است، در واقع، پیش از آن در ماه اکتبر، زمانی که من را فراموش کرده به پرداخت هزینه برای ما گواهی SSL، به عنوان آن را به نام، و ما مثل شد به دنبال این کار را برای یک ساعت یا دو. بنابراین شما احتمالا چیزهایی را دیده ام مثل این، با یک اعتصاب، از طریق، مانند یک خط قرمز، از طریق پروتکل در URL و یا نوعی از صفحه نمایش است که حداقل هشدار شما تلاش برای ادامه بیشتر. و گوگل در اینجا دعوت شما برای رفتن به ایمنی. 

در حال حاضر، در این مورد، این فقط بدان معنی است که گواهی SSL است که ما با استفاده از، بزرگ، اعداد ریاضی مفید که با سرور CS50 همراه، دیگر اعتبار بودند. و در واقع، ما می تواند شبیه سازی این، به عنوان شما می توانید در لپ تاپ شما. اگر من در اینجا به کروم بروید، و اجازه دهید به facebook.com بروید، و به نظر می رسد این امن است. اما اجازه دهید من به جلو در حال حاضر و در قفل در اینجا کلیک کنید. 

و اجازه دهید من به Connection بروید، اطلاعات گواهی. و در واقع، آنچه شما در اینجا دیدن یک دسته است از جزئیات سطح پایین تر در مورد که واقعا facebook.com است. به نظر می رسد که آنها پول پرداخت کرده اند یک شرکت به نام شاید DigiCert بالا اطمینان که وعده داده است به بقیه جهان بگویید که اگر یک مرورگر همیشه می بیند certificate-- شما می توانید فکر می کنم از آن به معنای واقعی کلمه به عنوان یک گواهی که به نظر می رسد که چیزی که قشنگ در بالا left-- سپس facebook.com است که آنها می گویند آنها هستند، چرا که تمام این زمان، هنگامی که شما یک وب سایت بازدید می کنید، مانند cs50.harvard.edu یا facebook.com یا gmail.com که با استفاده از HTTPS آدرس ها، پشت صحنه، در این نوع از معامله وجود دارد اتفاق می افتد به طور خودکار برای شما، به موجب آن facebook.com، در این مورد، در حال ارسال را به مرورگر شما آن گواهی SSL به اصطلاح، و یا به جای، کلید عمومی خود، و پس از آن مرورگر خود را است که با استفاده از کلید عمومی پس از آن به رمز شده ارسال ترافیک از آن. 

اما تمام این سلسله مراتب وجود دارد در جهان از شرکت که به شما پول پرداخت خواهد شد که پس از آن شهادت، به یک معنا دیجیتال، که شما در واقع facebook.com و یا سرور شما در واقع cs50.harvard.edu. و ساخته شده را به مرورگرها، مانند کروم و IE و فایرفاکس، یک لیست از تمام کسانی است به اصطلاح مقامات گواهینامه که توسط مجاز مایکروسافت و گوگل و موزیلا برای تایید یا رد که facebook.com است که آن را می گوید آن است. اما گرفتن این است که این چیزها منقضی. در واقع، به نظر می رسد مانند فیس بوک انقضای آن در ماه اکتبر آینده، در سال 2015. 

بنابراین ما در واقع می تواند این شبیه سازی اگر من رفتن به مک من به تنظیمات سیستم من، و من به تاریخ و زمان بروید، و من را به تاریخ و زمان رفتن به اینجا، و من باز کردن این here-- خوشبختانه، ما یک رمز عبور این time-- را آشکار نمی و در حال حاضر من به پایین به این گزینه. و اجازه دهید actually-- اوه، که به عنوان جالب به عنوان به انجام این کار نیست. ما به معنای واقعی کلمه در آینده در حال حاضر، که به معنی این است که چه 2020 است مانند. اگر من در حال حاضر بارگذاری page-- اجازه دهید آن را در Ingognito mode-- اگر من را مجدد بارگذاری صفحه، وجود دارد که ما بروید. 

بنابراین در حال حاضر، من فکر می کند کامپیوتر آن را تا سال 2020، اما مرورگر من می داند که این گواهی از فیس بوک به پایان برسد، البته، در سال 2015. پس از آن به من دادن این ارسال قرمز. در حال حاضر، خوشبختانه، مرورگرهای مانند کروم در واقع ساخته شده از آن خیلی سخت به با این وجود ادامه. آنها در واقع من می خواهم برای رفتن به ایمنی. 

اگر من در اینجا بر روی جستجوی پیشرفته کلیک کنید، آن را به من برخی از جزئیات بیشتر بگویید. و اگر من واقعا می خواهم برای ادامه، آنها به شما اجازه من به facebook.com، که بروید، دوباره، نا امن، که در آن نقطه من صفحه خانگی فیس بوک را ببینید، مثل این. اما همه چیز پس از آن دیگر به نظر می رسد شکست. چه احتمالا در این نقطه شکستن؟ رسید جاوا اسکریپت. DAVID J. مالان: مانند جاوا اسکریپت و / یا CSS فایل های مشابه مواجهه که خطا. پس این فقط یک وضعیت بد به طور کلی است. اما نکته در اینجا این است که حداقل فیس بوک در واقع باید SSL را فعال کنید برای سرور های خود را، به عنوان بسیاری از وب سایت ها، انجام دهید، اما نه لزوما همه. 

اما این به تنهایی غذای آماده در اینجا نیست. معلوم است که حتی SSL نشان داده شده است به نا امنی در برخی از راه. بنابراین من نوعی اشاره است که SSL، خوب است. برای HTTPS آدرس ها نگاه کنید، و زندگی است خوب، چرا که تمام ترافیک HTTP شما و هدر و محتوای رمزگذاری شده است. 

هیچ کس نمی تواند آن را در رهگیری متوسط، به جز یک مرد به اصطلاح در وسط. این یک روش عمومی است در جهان شناخته شده امنیت به عنوان یک حمله انسان در وسط. فرض کنید که شما این کمی هستید لپ تاپ بیش از اینجا در سمت چپ، و فرض کنید شما در حال تلاش برای دیدار سرور بیش از وجود دارد در سمت راست، مانند facebook.com. 

اما فرض کنید که، در بین شما و فیس بوک، یک دسته کامل از سرور های دیگر است و تجهیزات، مانند سوئیچ و روتر، سرورهای DNS، سرورهای DHCP، هیچ کدام از ما که کنترل. این ممکن است توسط استارباکس کنترل یا هاروارد یا Comcast در یا مانند آن. خب، فرض کنید که کسی بدتر، در شبکه شما، در بین شما و فیس بوک، قادر به شما بگویم این است که، می دانید، آدرس IP از فیس بوک چیزی است که شما فکر می کنم آن است که نیست. در این IP به جای است. 

و به این ترتیب مرورگر شما فریب را به درخواست ترافیک از دیگر کامپیوتر در دسترس نباشد. خوب، فرض کنید که کامپیوتر به سادگی در همه به نظر می رسد از ترافیک شما درخواست از فیس بوک و تمام صفحات وب که شما درخواست از فیس بوک. و هر زمان آن را در ترافیک شما را می بیند URL که با HTTPS شروع می شود، آن به صورت پویا، در پرواز، آن را به عنوان بازنویسی HTTP. و هر زمان آن را می بیند یک محل هدر، روده بزرگ محل، مانند استفاده می کنیم برای تغییر مسیر کاربر، آن، بیش از حد، می توان با این مرد در تغییر وسط از HTTPS به HTTP. 

بنابراین حتی اگر شما خودتان را ممکن است فکر می کنم شما در فیس بوک واقعی هستید، آن است که سخت برای نه دشمن با دسترسی فیزیکی به شبکه خود را به سادگی بازگشت به صفحه شما است که مثل Gmail نگاه کنید، که مانند فیس بوک نگاه کنید، و در واقع URL است یکسان، زیرا آنها تظاهر به که نام میزبان مشابه به دلیل برخی سوء استفاده از DNS و یا بعضی از سیستم های دیگر مانند آن. و در نتیجه، پس از آن است، که ما انسان ها فقط متوجه است که، خوب، این به نظر می رسد جیمیل و یا حداقل نسخه قدیمی تر، عنوان این اسلاید از است ارائه مسن تر. اما آن را مانند به نظر می رسد this-- http://www.google.com. 

بنابراین در اینجا، بیش از حد، واقعیت این است که چگونه بسیاری از شما، هنگامی که شما را به فیس بوک یا جی میل یا هر بروید وب سایت و شما می دانید چیزی کمی درباره SSL، چگونه بسیاری از شما از لحاظ جسمی نوع https: // را و پس از آن وب سایت نام، وارد کنید. بسیاری از ما فقط نوع، مانند، CS50، ضربه را وارد کنید، و یا F-A برای فیس بوک و ضربه را وارد کنید، و اجازه دهید آن را تکمیل خودکار. اما در پشت صحنه، اگر شما تماشا ترافیک HTTP خود را، احتمالا یک دسته کامل وجود دارد از آن هدر محل که به شما ارسال از فیس بوک به www.facebook.com به https://www.facebook.com. 

به طوری که یک یا چند معامله HTTP است که در آن اطلاعات خود را به طور کامل فرستاده شده در روشن، بدون رمزگذاری ندارند. در حال حاضر، که ممکن است چنین بزرگ مقابله اگر همه شما در حال تلاش برای انجام است دسترسی به صفحه اصلی، شما نمی ارسال نام کاربری و رمز عبور خود را. اما آنچه در آن است زیر هود، به خصوص برای وب سایت های مبتنی بر PHP است که هم در حال جلو و عقب هنگامی که فرستاده شما دیدن برخی از صفحه وب اگر که با استفاده از وب سایت، می گویند، PHP پیاده سازی و عملکرد مانند pset7؟ چه در حال جلو و عقب فرستاده شد در هدر HTTP خود را که به شما داد دسترسی به این زیبا مفید فوق العاده در PHP جهانی؟ 

رسید کوکی ها. 

DAVID J. مالان: کوکی ها، به طور خاص PHP sess کوکی ID. بنابراین به یاد، اگر ما برای رفتن، بگو، دوباره cs50.harvard.edu، اما این بار، اجازه دهید باز کردن تب شبکه، و در حال حاضر، در اینجا، اجازه دهید به معنای واقعی کلمه فقط به به http://cs50.harvard.edu و پس از آن ضربه وارد کنید. و پس از آن در روی صفحه نمایش را در اینجا نگاه کنید. توجه کنید که ما در واقع کردم به طور دائم پشت 301 نقل مکان کرد پیام، به این معنی که یک عنوان محل وجود دارد، که در حال حاضر من به هدایت می شود HTTPS. 

اما گرفتن این است که، اگر من در حال حاضر یک کوکی مهر در دست من تقریبا، همانطور که قبلا بحث شد، و من از نوع بشر ندانسته فقط بازدید از نا امن نسخه و مرورگر من آن را می کشد بر خود نشان می دهد که مهر برای دست درخواست اول، که از طریق HTTP، هر مرد در وسط، هر دشمن در وسط، به لحاظ نظری می تواند فقط ببینید کسانی که هدر HTTP، فقط مانند ما به دنبال در آنها را در اینجا. این تنها یک بار شما صحبت با HTTPS URL می کند که مهر دست خود را دریافت رمزگذاری، لا سزار یا Vigenere، اما با یک الگوریتم رویایی در دسترس نباشد. بنابراین در اینجا، بیش از حد، حتی اگر وب سایت استفاده از HTTPS، ما انسان ها مشروط شده است، به لطف به تکنیک های تکمیل خودکار و دیگر، نه حتی در مورد فکر می کنم پیامدهای بالقوه است. در حال حاضر، راه های اطراف این وجود دارد. به عنوان مثال، بسیاری از وب سایت های می توان به پیکربندی به طوری که، هنگامی که شما این دست تمبر، شما می توانید به مرورگر بگویید، این تمبر دست تنها برای اتصال به SSL. مرورگر باید در حال حاضر نه آن را به من مگر اینکه آن را بر SSL است. اما بسیاری از وب سایت با که خسته نکنید. و بسیاری از وب سایت های به ظاهر حتی با SSL در همه زحمت نیست. 

پس برای اطلاعات بیشتر در آن، در واقع وجود دارد خاک و حتی بیشتر در این مقاله که یک شخص به در سیاه و سفید به اصطلاح کنفرانس کلاه چند سال پیش، که در آن حتی دیگر وجود دارد ترفندهای افراد مخرب استفاده کرده اند. شما ممکن است این به خاطر مفهوم یک فاویکون، که مانند یک آرم کوچک که اغلب در پنجره مرورگر است. خب، چه بوده است در میان مردمان بد شایع است به آیکون FAB که مانند آنچه که نگاه می کنید؟ رسید [نامفهوم]. DAVID J. مالان: بگو دوباره؟ رسید وب سایت. DAVID J. مالان: به یک وب سایت. بنابراین فاویکون، آیکون کمی کوچک است. چه خواهد بود بیشتر مخرب، چیزی دستکاری شما می توانید وب سایت خود را به آیکون به طور پیش فرض شبیه؟ رسید یک قفل سبز. DAVID J. مالان: آن چیست؟ رسید یک قفل سبز کم است. DAVID J. مالان: مانند قفل سبز، دقیقا. بنابراین شما می توانید این زیبایی دارند یک قفل سبز کمی، اشاره به جهان، آه، ما هستیم امن، زمانی که، باز هم، همه به این معنی این است که شما می دانید که برخی از HTML. بنابراین ربودن را وارد نمایید اشاره به دقیقا همان است که. اگر شما کسی را که نوع خرناس امواج رادیو و تلویزیون در این اتاق در اینجا و یا دسترسی فیزیکی به یک شبکه و می تواند کوکی های خود را ببینید، او می تواند با شتاب که PHP sess کوکی ID. و پس از آن، اگر آنها به اندازه کافی زرنگ و دانا به دانستن نحوه ارسال آن کوکی را از آن خود تمبر دست تنها با کپی کردن که ارزش و ارسال هدر HTTP، کسی می تواند به راحتی ورود به هر یک از فیس بوک حساب یا حساب های جی میل و یا حساب توییتر آن اینجا، باز در اتاق، اگر شما با استفاده از SSL نمی و اگر وب سایت با استفاده از SSL صحیح نیست. 

بنابراین اجازه انتقال به یکدیگر است. بنابراین داستان واقعی دیگر. و این فقط در شکست اخبار یک یا دو هفته پیش. ورایزون است انجام شده است یک چیز بسیار بد، و به عنوان بهترین افراد می توانم بگویم، حداقل از سال 2012، که به موجب آن، هنگامی که شما دسترسی به وب سایت از طریق ورایزون تلفن همراه، هر آنچه که سازنده آن است، آنها مغرورانه است، به عنوان داستان می رود، تزریق به همه پروتکل های HTTP ترافیک هدر HTTP خود را. و به نظر می رسد که هدر مانند this-- X-UIDH. UID است مانند منحصر به فرد شناسه یا ID کاربر. و X فقط به معنی این است که یک سفارشی است هدر که استاندارد نیست. 

اما این به چه معناست این است که، اگر من را بالا بکشد، به عنوان مثال، هر وب سایت در here-- گوشی من و من با استفاده از ورایزون به عنوان carrier-- من حتی اگر مرورگر من ممکن نمی شود ارسال این HTTP هدر، ورایزون، به زودی به عنوان سیگنال خود می رسد برج تلفن همراه در جایی، برای برخی از زمان تزریق این بوده است هدر به تمام ترافیک HTTP است. چرا آنها این کار؟ احتمالا به دلایل ردیابی، به دلایل تبلیغاتی. 

اما تصمیم طراحی moronic در اینجا است که یک هدر HTTP است، عنوان شما بچه ها از pset6 می دانید، توسط هر وب سرور دریافت که شما درخواست ترافیک. بنابراین تمام این مدت، اگر شما بازدید شده است فیس بوک و یا جی میل یا هر وب سایت که نمی SSL تمام time-- استفاده کنید و در واقع، کسانی که دو خوشبختانه در حال حاضر do-- اما وب سایت های دیگر که آیا SSL در همه زمان ها استفاده نمی کند، ورایزون اساسا کاشت شده است، به زور، مهر دست بر روی تمام ما دست که حتی ما نمی بینیم، بلکه، وب سایت های پایان انجام دهد. و پس از آن نشده است که سخت را برای هر کسی در اینترنت در حال اجرا یک وب سرور به درک، آه، این دیوید است، یا، آه، این داوین است، حتی اگر ما دقیق در مورد پاکسازی کوکی های ما، زیرا که از ما نیست. این که از حامل. 

آنها یک گرین کارت آمریکا شماره تلفن خود را در و پس از آن می گویند، آه، این دیوید است. اجازه بدهید من شناسه منحصر به فرد تزریق تا که تبلیغ ما یا هر کس می تواند پیگیری این. پس این است که در واقع بسیار، بسیار، بسیار بد و هولناک. و من شما را به تشویق نگاهی به عنوان مثال، در این URL، که من باید انکار من در واقع این امروز صبح سعی. من نوشت: یک اسکریپت کوچک، آن را در این URL، آن را با ورایزون خودم بازدید تلفن همراه پس از روشن Wi-Fi خاموش. بنابراین شما باید به نوبه خود Wi-Fi خاموش به طوری که شما با استفاده از 3G یا LTE و یا مانند آن. و پس از آن، اگر شما بازدید این URL، تمام این اسکریپت را برای شما بچه ها، اگر شما می خواهم به بازی، آن را تف کردن آنچه HTTP هدر تلفن شما از ارسال به سرور ما. و من در واقع، در عدالت، انجام این امروز صبح، نگاه کنید که باعث می شود من فکر می کنم هر دو محلی برج تلفن همراه من متصل شد و یا فلان چیز است آن را انجام نمی، و یا آنها بوده ام حمایت کردن از انجام این کار به طور موقت. اما برای اطلاعات بیشتر، به سر به این URL در اینجا. 

و در حال حاضر به این this-- کمیک ممکن است احساس کند. هیچ؟ OK. همه راست. که فوت کرد. همه راست. 

بنابراین اجازه دهید نگاهی به یک زن و شوهر از تر حملات، اگر تنها به منظور بالا بردن آگاهی از و پس از آن ارائه یک زن و شوهر راه حل های بالقوه به طوری که شما بیشتر از همه فکر کنید. این یکی از ما در مورد دیگر صحبت کردیم روز، اما نام آن را نمی دهد. این کراس سایت جعل درخواست، این است که یک راه بیش از حد فانتزی گفتن است شما یک کاربر فریب به کلیک کردن بر روی URL شبیه به این، که ترفندهای آنها به برخی از رفتار که آنها قصد نداشتند. 

در این مورد، به نظر می رسد به تلاش به من فریب به فروش سهام من از گوگل. و این اگر موفق I، برنامه نویس از pset7، آنچه را انجام داده نه؟ یا نه، به طور کلی، در چه موارد من به یک حمله آسیب پذیر هستم اگر کسی کلاهبرداری یک کاربر دیگر به کلیک کردن بر روی URL مثل این؟ آره؟ 

رسید شما را تشخیص دهد بین GET و POST. 

DAVID J. مالان: خوب. اگر ما تشخیص نیست بین GET و POST، و در واقع، اگر ما اجازه می دهد را برای فروش همه چیز، ما در حال دعوت از این نوع حمله. اما ما هنوز هم می تواند آن را تا حدودی کاهش دهد. و من اظهار نظر، من فکر می کنم، هفته گذشته که آمازون حداقل تلاش برای کاهش این با استفاده از تکنیک که بسیار ساده. چه چیز هوشمند برای انجام این کار بر روی سرور خود باشد، و نه تنها کورکورانه فروش هر نماد نوع کاربر در؟ رسید تأییدیه از انواع؟ DAVID J. مالان: تایید چیزی که شامل تعامل انسان به طوری که من مجبور به هستم را فراخوانی قضاوت، حتی اگر من آنروز با ساده کلیک کرده اید یک لینک که به نظر می رسد مثل این و من منجر به روی صفحه نمایش سلول، در حداقل از من خواست برای تایید یا رد. اما نه یک حمله غیر معمول، به خصوص در اصطلاح فیشینگ یا مانند اسپم حمله. 

در حال حاضر، این یکی کمی ظریف تر. این حمله کراس سایت اسکریپتینگ است. و این اتفاق می افتد اگر شما وب سایت با استفاده از نه معادل htmlspecialchars. و آن را به در نظر گرفتن ورودی کاربر و فقط کورکورانه آن تزریق به یک صفحه وب، با چاپ و یا اکو، with-- again-- از فراخواندن چیزی مانند htmlspecialchars. 

بنابراین فرض کنید وب سایت در سوال vulnerable.com است. و گمان آن را می پذیرد یک پارامتر به نام س. در آنچه ممکن است اتفاق می افتد نگاه اگر من در واقع، یک پسر بد، تایپ و یا فریب کاربر بازدید از یک URL که به نظر می رسد مانند this-- Q = برچسب اسکریپت باز، برچسب اسکریپت، بسته است. و دوباره، من فرض که vulnerable.com است رفتن به نوبه خود خطرناک شخصیت مانند براکت باز به اشخاص HTML، علامت، L-T، چیزی که نقطه و ویرگول که شما ممکن است قبل از دیده می شود. 

اما آنچه اسکریپت و یا کد جاوا اسکریپت من در تلاش برای فریب کاربر را به اجرا؟ خوب، document.location اشاره به آدرس فعلی مرورگر من. بنابراین اگر من document.location =، این اجازه می دهد تا به من برای هدایت کاربر در جاوا اسکریپت به وب سایت دیگر. آن را مانند تابع PHP ما تغییر مسیر، اما انجام شده در جاوا اسکریپت. 

که در آن من تلاش برای ارسال کاربر؟ خب، ظاهرا، badguy.com/log.php، است که برخی از اسکریپت، ظاهرا، پسر بد نوشته است، که طول می کشد یک پارامتر به نام کوکی. 

و اطلاع، من چی کار کنم به نظر می رسد الحاق را به انتهای آن علامت مساوی؟ خوب، چیزی است که می گوید فایل خارجی. ما در مورد این صحبت نیست. اما معلوم است، در جاوا اسکریپت، درست مانند PHP، شما می توانید تمام کوکی ها دسترسی که مرورگر شما در واقع با استفاده از. 

بنابراین اثر این خط از کد، اگر یک کاربر به کلیک کردن بر روی این لینک را فریب و vulnerable.com وب سایت نمی کند فرار آن را با htmlspecialchars، این است که شما فقط به طور موثر ارسال به log.php تمام کوکی های خود را. و این همیشه که مشکل نیست، مگر اینکه یکی از این کوکی ها جلسه ID شما است، شما اصطلاح تمبر دست، که به معنی badguy.com می تواند خود را درخواست HTTP، ارسال که همان دست تمبر، که هدر کوکی همان، و ورود به هر وب سایت شما، بازدید که در شدند این مورد vulnerable.com است. این کراس سایت اسکریپتینگ است حمله به این معنا که شما نوع فریب یک سایت به گفتن وب سایت دیگر در مورد برخی اطلاعات آن را باید نه، در واقع، دسترسی داشته باشند. 

همه حق است، آماده برای یک دیگر جزئیات نگران کننده؟ همه حق است، جهان است مکان ترسناک، مشروع است. در اینجا ساده به عنوان مثال جاوا اسکریپت که در کد منبع امروز نام منطقه جغرافیایی 0 و 1. و یک زن و شوهر وجود دارد تکمیل فرم سفارش آنلاین برای این. 

و آن را زیر اگر من باز کردن این صفحه وب در کروم. این برای اولین بار هیچ کاری نمی کند. خوب، ما این را دوباره امتحان کنید. اوه. نه، آن را باید چیزی را انجام دهید. OK، ایستاده. 

بیایید سعی کنید این یک بار دیگر. [نامفهوم] آه، OK، مطمئن نیست که چرا the-- آه، لوازم خانگی احتمالا از دست داده اینترنتی دسترسی برای برخی از دلیل. همه حق است، پس به من اتفاق می افتد، بیش از حد. 

همه حق است، تا اطلاع چه خبر است در اینجا. این مرموز به دنبال URL، که تنها یکی از سرور CS50 است، می خواهد به استفاده از کامپیوتر من محل سکونت، مانند از لحاظ جسمی به این معنی است. و اگر، در واقع، من با کلیک بر روی اجازه، اجازه دهید ببینیم که چه چیزی اتفاق می افتد. ظاهرا، این عرض جغرافیایی فعلی من است و طولی مختصات پایین به وضوح خیلی خوب رفو. 

پس چگونه من در این می بود؟ چگونه این وب سایت، مانند سرور CS50، می دانم که از نظر فیزیکی که در آن در جهان من، چه رسد که با دقت است. خب، تبدیل out-- اجازه فقط در source-- صفحه نگاه که در اینجا یک دسته از HTML در است پایین که برای اولین بار است this-- onload بدن = "geolocate" - فقط یک تابع نوشتم. 

و من کرد و گفت: در حال بارگذاری صفحه، geolocate تماس بگیرید. و پس از آن هیچ چیز وجود دارد در بدن، به دلیل در سر صفحه، اطلاعیه آنچه که من در اینجا. در اینجا تابع geolocate من است. و این فقط برخی از خطا است checking-- اگر نوع navigator.geolocation است نامشخص نیست. پس جاوا اسکریپت این است مکانیزم که در آن شما می توان گفت، آنچه که نوع این متغیر؟ و اگر آن را نمی undefined-- که بدان معنی است که برخی از value-- است من قصد دارم به تماس navigator.geolocation.getCurrentPosition و سپس پاسخ به تماس. 

این چیست؟ بنابراین به طور کلی، آنچه است پاسخ به تماس، فقط برای روشن شود؟ شما ممکن است مواجه می شوند این در حال حاضر در pset8. پاسخ به تماس یک عمومی مدت انجام چه؟ احساس می کند مانند فقط به من امروز. رسید [نامفهوم]. DAVID J. مالان: دقیقا، یک تابع است که باید به نام تنها زمانی که ما داده. این تماس به مرورگر، دریافت فعلی من موقعیت، ممکن است یک میلی ثانیه را، ممکن است یک دقیقه طول می کشد. این بدان معنی است که ما در حال گفتن روش getCurrentPosition GET، به این تابع پاسخ به تماس، که من به معنای واقعی کلمه به نام پاسخ به تماس برای سادگی، که ظاهرا این یکی در اینجا است. 

و راه getCurrentPosition کار می کند، به سادگی با خواندن مستندات برای برخی از کد جاوا اسکریپت آنلاین است که آن که به اصطلاح پاسخ به تماس می نامد تابع، از آن عبور به آن یک شی جاوا اسکریپت، که از داخل آن .coords.latitude است و .coords.longitude، است که دقیقا چگونه، و سپس، وقتی که من دوباره این صفحه، من قادر به دیدن مکان من اینجا بود. در حال حاضر، حداقل در اینجا بود دفاع وجود دارد. قبل از اینکه من از این صفحه بازدید، هنگامی که آن را در واقع کار می کرد، آنچه که من حداقل برای وادار شد؟ 

رسید [نامفهوم]. 

DAVID J. مالان: بله یا no-- انجام شما می خواهید به اجازه یا رد این؟ اما فکر می کنم، بیش از حد، در مورد عادات شما بچه ها احتمالا به تصویب رسید، هر دو بر روی تلفن های خود و مرورگر شما. بسیاری از ما، خودم شامل هستند، احتمالا بسیار مستعد این شما days-- دیدن یک پاپ آپ، فقط وارد کنید، OK، تصویب، اجازه می دهد. و به طور فزاینده ای، شما می توانید خودتان را در خطر برای کسانی که به دلایل. 

پس در واقع، بود این اشکال وجود دارد فوق العاده چند سال ago-- یا عدم feature-- که آیتونز به حال چند سال پیش، به موجب آن، اگر یک تلفن همراه شما تا به حال، و آن را از آی فون بود، و شما به خانه خود را به سمت چپ و به همین دلیل در سراسر جهان سفر و یا محله، تمام این مدت، تلفن خود شد ورود به سیستم که در آن شما از طریق GPS می باشد. و این در واقع افشا، و مردم نوع در حال حاضر انتظار می رود این. گوشی خود را می داند که در آن شما می باشد. اما مشکل این بود که، هنگامی که شما پشتیبان گیری شد تلفن خود را به iTunes-- قبل از این بود روز از آیکلاد، که برای بهتر و یا برای worse-- داده که ذخیره شده بود در iTunes، به طور کامل تکه تکه کردن. بنابراین اگر شما یک خانواده یا هم اتاقی و یا همسایه های مخرب که در کنجکاو در مورد معنای واقعی کلمه هر GPS هماهنگ که تا کنون به بوده است، او می تواند تنها نشستن در آیتونز، اجرا برخی از نرم افزار که به صورت آزاد بود در دسترس، و نقشه های تولید مثل این. 

در واقع، این چیزی است که من تولید تلفن خود من. من آن وصل شده است. و آن را مانند به نظر می رسد، بر اساس در نقطه های آبی وجود دارد، که در آن بیشتر از مختصات GPS بود به سیستم وارد شده توسط آیتونز که من در شمال شرقی وجود دارد. اما من ظاهرا در اطراف سفر کمی، حتی در ماساچوست. 

به طوری که لنگرگاه بوستون وجود دارد در سمت راست. این نوع از کمبریج و بوستون، جایی که آن را تاریک ترین. و گاهی اوقات، من اجرا کارهای به جغرافیا بزرگتر. 

اما آیتونز، برای سال ها، به حال، به عنوان بهترین من می توانم به من بگویید، همه این داده ها. شما می توانید بگویید که، در آن سال، من در واقع سفر های زیادی بین بوستون و نیویورک، رفتن به عقب و جلو و به عقب و جلو. و در واقع، این من است در امتراک، پشت و جلو، عقب و جلو، کاملا کمی. همه از آن در سیستم ثبت شد و رمز شده ذخیره شده بر روی کامپیوتر من برای هر کسی که ممکن است دسترسی به کامپیوتر من. 

این نگران کننده بود. من نمی دانم چرا من بود در پنسیلوانیا و یا چرا گوشی من در پنسیلوانیا بود، ظاهرا نسبتا پر. و پس از آن، در نهایت، من نگاه در Gcal من، و، آه، من CMU، کارنگی بازدید ملون، در آن زمان. و آه، از این نوع از که تصویری بر روی صفحه رادار توضیح داد. و پس از آن، اگر شما زوم از علاوه بر این، شما می توانید ببینید من در سان فرانسیسکو بازدید یک یا بار بیش از، و من حتی تا به حال توقف در آنچه من فکر می کنم وگاس است، وجود دارد. بنابراین همه this-- تنها توقف دارد، در فرودگاه. 

رسید [خنده] 

پس این است که تنها به می گویند که این مشکلات، صادقانه، در همه جا حاضر است. و آن را تنها احساس می کند به طور فزاینده ای دوست وجود دارد بیشتر و بیشتر از این که افشا، که احتمالا چیز خوبی است. من اعتقاد داشتن، جهان است بدتر در نرم افزار نوشتن. ما در حال بهتر شدن است، امیدوارم، در متوجه نرم افزار چقدر بد خاص این است که ما با استفاده از. و خوشبختانه، برخی از شرکت شروع به پاسخگو برای این برگزار می شود. 

اما چه نوع از دفاع می تواند شما را در ذهن دارند؟ بنابراین علاوه بر مدیران رمز عبور مانند 1Password و برنامه LastPass و دیگران، علاوه بر این تنها تغییر رمز عبور خود را و آینده با آنهایی که تصادفی با استفاده از نرم افزار مانند که، شما همچنین می توانید سعی کنید به عنوان بهترین شما می توانید برای رمزگذاری تمام ترافیک شما به حداقل محدود در منطقه یک تهدید. بنابراین به عنوان مثال، به عنوان وابسته به دانشگاه هاروارد، شما می توانید تمام به vpn.harvard.edu و به سیستم وارد شوید با ID و PIN خود را از دانشگاه هاروارد. و این امن ایجاد خواهد ارتباط بین شما و دانشگاه هاروارد. 

در حال حاضر، که نمی کند لزوما شما محافظت در برابر هر گونه تهدید که بین هستند هاروارد و فیس بوک یا هاروارد و جی میل. اما اگر شما نشسته اید در فرودگاه و یا شما نشسته در استارباکس و یا شما نشستن در محل یک دوست، و شما واقعا نمی آنها را و یا اعتماد خود پیکربندی روتر خانه خود، حداقل شما می توانید ایجاد اتصال امن به یک نهاد مانند این محل که احتمالا کمی بهتر امن از چیزی شبیه به یک استارباکس و یا مانند آن. و چه می کند این است آن را برقرار، دوباره، رمزگذاری بین شما و نقطه پایانی. 

حتی خیال باف چیزهایی مثل این. بنابراین برخی از شما ممکن است در حال حاضر شود با Tor آشنا، که این نوع از بینامسازی است شبکه، به موجب آن بسیاری از مردم، در صورتی که این نرم افزار را اجرا کنید، مسیر پس از آن خود را به اینترنت ترافیک از طریق هر یک از دیگر. بنابراین کوتاه ترین نکته این است دیگر بین A و B وجود ندارد اما ممکن است در سراسر محل به طوری که شما اساسا هستید پوشش یک قطعه و ترک کمتر از یک رکورد به عنوان جایی که HTTP شما ترافیک از آمد، چرا که آن را از طریق یک دسته کامل از دیگر مردم لپ تاپ و یا رومیزی، برای بهتر یا بدتر. 

اما حتی این چیز یقین نیست. برخی از شما ممکن است در سال گذشته به یاد می آورند ترساندن بمب را که در نامیده می شد. و در نهایت به یک ترسیم شد کاربری که از این شبکه در اینجا استفاده کرده بودند. و گرفتن وجود دارد، که من به یاد می آورند، است، اگر که بسیاری از افراد دیگر وجود دارد با استفاده از نرم افزار مانند این یا با استفاده از این پورت و پروتکل، آن است که سخت برای یک شبکه به حتی کشف کردن که، با برخی از احتمال، در واقع ناشناس بود خود و یا ترافیک او. 

و من نمی دانم اگر آن بودند خاص واقعی در سوال. اما مطمئنا، متوجه است که هیچ یک از این راه حل یقین هستند، و همچنین. و هدف امروز در اینجا این است که حداقل شما فکر کردن در مورد این چیزها و آینده با روش های برای دفاع از خود در برابر آنها. هر گونه سوال در تمام تهدیدات که در انتظار شما در خارج وجود دارد، و در اینجا؟ آره؟ رسید چگونه امن انجام ما انتظار داریم که به طور متوسط [؟ وب سایت می شود،؟] مانند پروژه CS50 به طور متوسط؟ 

DAVID J. مالان: متوسط ​​پروژه CS50؟ آن است که همیشه ثابت است که هر سال برخی از پروژه های نهایی CS50 نیست به ویژه امن است. معمولا، برخی از هم اتاقی است و یا hallmate که چهره این از با ارسال درخواست ها به پروژه شما. 

answer-- کوتاه چگونه بسیاری از وب سایت های امن هستند؟ من چیدن بر ناهنجاریهای امروز. مانند آن را فقط اتفاق بود که من متوجه شدم که این وب سایت من دستور داده ام این رک و پوست کنده ترتیبات خوشمزه from-- و من مطمئن نیستم من توقف استفاده از وب سایت خود را. من فقط ممکن است تغییر من رمز عبور regularly-- تر روشن نیست که چه آسیب پذیر این همه various-- این شکلات پوشش داده شده واقع شده است. پاسخ کوتاه، من می توانم پاسخ این نیست که به طور موثر، به غیر از به آن می گویند این بود که برای من سخت نیست پیدا کردن برخی از این نمونه تنها به خاطر بحث در سخنرانی. و فقط نگه داشتن چشم در اخبار گوگل و دیگر منابع همه بیشتر از به ارمغان خواهد آورد این نوع از همه چیز به نور است. 

همه حق است، اجازه دهید نتیجه گیری با این prequel که تیم CS50 است را برای شما آماده در پیش بینی از CS50 هکاتون. و در راه خود را در یک لحظه، میوه خدمت خواهد شد. [VIDEO PLAYBACK] [MUSIC FERGIE، TIP Q، و GOONROCK، "A LITTLE حزب هرگز کشته هیچ کس (ALL ما باید) "] 

- [خروپف] [END پخش ویدئو] DAVID J. مالان: که آن را برای CS50. ما به شما در روز چهارشنبه را ببینید. [MUSIC - اسکریلکس، "IMMA" آن را امتحان کنید "]