DAVID J. MALAN: Tämä on CS50, ja tämä on alku viikolla 10. Muistatte ehkä, että olemme osoittaneet ruudulla 3D-tulostin, joka on tämä laite, ottaa puolat muovi ja sitten puristaa sitä kuumentamalla ylös ja sulattamalla se niin että voimme sitten muodostavat Chang armeija norsuja, esimerkiksi. Joten Leverett House, vaikka viime aikoina, olen oli jutteleminen joku luokkatoverit ja ystävä Chang nimeltään Michelle, jotka todella työharjoittelun tämä muu yritys viime vuonna, että on erilainen tekniikka todella luoda kolmiulotteisia esineitä, kuten tämä pikku elefantti täällä. Erityisesti, miten tämä toimii on, että se on esimerkki jotain nimeltään stereolitografia, jolloin on tämä altaan hartsia tai nestettä, ja sitten laser iskee joka neste, ja vähitellen, laite hissien ja hissien ja hissien asia että olet tulostus, kuten elefantti, niin että neste muuttuu kiinteäksi. Ja tulos, todella, on jotain, joka on paljon vakaampi kuin jotkut muovi kylkiäiset jotkut teistä olisi voinut olla. Ja mitä Chang ystävällisesti teki meille täällä oli teki aika-raukeavat käyttäen valokuvia aikana tunnissa tai enemmän, luultavasti, tuottaa tämä kaveri täällä. Olisiko joku joka ei ole koskaan keksiä ennen haluavat tulla osuma Käynnistä tämän videon? Anna minun mennä, entä siellä. Tule ylös. Selvä. Ja sinä olet? LUKE: Nimeni on Luke [kuultavissa]. DAVID J. MALAN: Hei, Luke. Hauska tavata. LUKE: Hauska tavata. Yleisö: Hän juoksee UC. DAVID J. MALAN: Tiedän, Yritämme ei edistämiseksi. Okei, joten Luke, kaikki sinun täytyy tehdä täällä CS50 on välilyöntiä tulostaa tämän norsun. [VIDEOTOISTOSTA] - [MACHINE suriseva] - [CRASH] - [BOOM] - [CRASH] [END VIDEOTOISTOSTA] DAVID J. MALAN: Niin juuri miltä tuntuu 3D-print. Ja tässä on elefantti. Kiitos vapaaehtoistyötä. Selvä. Joten jälleen, kohti eritelmä Opinnäytetyö, tämä laitteisto, joka on käytössäsi kaverit on, jostain syystä, projekti on joitakin risteys ohjelmistojen ja laitteistojen, ymmärtää, että nämä ovat nyt resursseja. Halusin ottaa yksi hetki koskettaa Olipa Crimson artikkeli, joka tuli ulos myöhään viime yönä, joka oli ilmoittaa, että tämä kaveri täällä, David Johnson, joka on ollut vanhempi opettajansa EY 10 jo jonkin aikaa, jättää Harvard klo loppuun lukuvuoden. Ja halusin vain hetki, rehellisesti, kiittää David edessä CS50. Hän on ollut mentori lajittelee meille vuosien varrella. Ja minusta tuntuu, me, CS50, on pikemminkin kasvaneet Ec 10 täällä, koska ne ovat juuri ennen meitä. Ja hän ja koko joukkue Ec 10 on ollut ihanan armollinen, rehellisesti, kuten me raahata meidän kaikkien laitteiden jokainen viikko, ja vuosia sitten, jos paljon Neuvon koska olimme utelias näkemään, kuinka ne toimivat Ec 10. Joten kiitokset ja ihailua David Johnson. [APPLAUSE] Nyt, unrelatedly, joten loppu on todella lähellä. Olemme täällä viikolla 10. Ja meillä on vain juuri pari muodollista viikkoa tässä luokassa vasemmalla, pari tapahtumia. Joten antaa sinulle käsityksen siitä, mitä on horisontissa, olemme täällä tänään. Keskiviikkona, muistaa, meillä on vierailuluennon mikään muu kuin Microsoftin omaa Steve Ballmer. Jos et ole vielä mennyt cs50.harvard.edu/register, tehdä niin, koska tila on rajallinen. Ja ne tarkistetaan Tunnukset ovella tänä päivänä. Jos et olisi täällä viime viikolla, ajattelin tease sinulle eri ulkoasua Steve ja jännitystä, että odottaa meitä keskiviikkona. [VIDEOTOISTOSTA] -Passion. -Olemme Olemaan hardcore-- hardcore. -Innovator. -Bill Sanoi, et saa sitä. Aiomme laittaa tietokone jokaiselle työpöydälle ja joka kotiin, joka tuli mottona yritys. Vannon, Bill keksi sen joka yö todella antaa minulle jotkut visio miksi minun pitäisi sanoa kyllä. En ole koskaan katunut, todella, jälkeen. -Tuore Ulos college, hän liittyi aloitteleva startup ja auttoi se kasvaa yhdeksi Amerikan menestyneimmistä yrityksistä koskaan. Elämän ja liiketoiminnan opittua matkan varrella anna hänet takaisin lapsuuden intohimoa ja rakkautta. Ja nuo kokemukset ovat laatineet häntä hänen seuraava haaste elämässä. En mitään saa meidän way-- boom! Pitää tulossa hardcore! Mene Clippers! -Tämä On Steve Ballmer, "In My Own Words." [END VIDEOTOISTOSTA] DAVID J. MALAN: --this Keskiviikkona CS50. Suunnata uudelleen tätä URL täällä. Kuten mitä muuta on näköpiirissä, ensi viikolla, ei luento maanantaina. Mutta me tullaan seuraavan by tietokilpailu yksi keskiviikkona. Siirry CS50 kotisivu lisätietoja ihmisiä, paikkoja ja aikoja kaikkien eri proctoring logistiikka ja vastaavat, sekä noin arvostelu istuntoja, jotka ovat tulossa. Ja sitten lopuksi, maanantaina, päivä ennen viikon kiitospäivä tauko, ymmärtää se on meidän lopullinen luento. Me palvelemme kakku ja suuri paljon jännitystä, toivomme. Nyt pari muita päivityksiä. Muista, että tilan raportti, joka on oikeastaan ​​vain tarkoitus olla rento vuorovaikutus kanssa TF ylpeänä todeta vain kuinka paljon pitkin teidän Opinnäytetyö olet, tai ainakin niin järki tarkista, että sinun pitäisi lähestyvän että kohta pian sen jälkeen. Hackathon sitten seuraa. Ymmärtää hackathon ei ole mahdollisuutta aloittaa opinnäytetyön, mutta on tarkoitus olla mahdollisuus olla keskellä tai kohti lopussa oman opinnäytetyön, täytäntöönpanon vuoksi muutama päivää myöhemmin, jonka jälkeen CS50 oikeudenmukainen. Nyt CS50 tuotanto joukkue, pari vuotta sitten, koota teaser varten CS50 oikeudenmukaista, että me ajattelimme näyttää teille tänään, koska he ovat olleet kovassa työssä on esiosa varten, että uusi video että me tehdä tänään. Mutta tässä mitä odottaa sinua Tämän vuoden CS50 oikeudenmukainen. [VIDEOTOISTOSTA] - [CELL soi puhelin] [MUSIC "Theme From Mission: Impossible"] [END VIDEOTOISTOSTA] DAVID J. MALAN: Niin juuri, miten suljemme opinnäytetyön huomautuksia. Pari nyt teasers-- jos haluat liittyä Nick täällä lounaalle, kuten tavallista, tämä Perjantaina suunnata tätä URL täällä. Lisäksi, jos haluat liittyä Nick tai tämän Nick tai tämän Allison tai jäsenet CS50 tiimi, Ymmärräthän, että pian jälkeen lukukauden lopussa, CS50 jo rekrytoimaan ensi vuoden joukkue, CAS, TF: ille, suunnittelijat, valmistajat, tutkijoita, ja muissa tehtävissä että täällä toimivat CS50 sekä edessä ja kulissien takana. Joten jos tämä saattaa kiinnostaa teille, suunnata tätä URL täällä. Ja opiskelijat mukavampaa, vähemmän mukava, ja jossain välillä samankaltaisia ​​ovat kaikki tervetulleita ja kannustetaan hakemaan. Joten se oli täydellinen ajoitus, että ei vitsi, tänä aamuna, kun heräsin, Minulla oli tämä täällä roskapostia omaan postilaatikkoon. Se todella liukastui kautta Gmailin roskapostin suodatin jotenkin ja päätyi minun todellinen postilaatikkoon. Ja se sanoo: "Rakas postilaatikko käyttäjä, olet tällä hetkellä päivitetty 4 gigatavua tilaa. Ole hyvä ja kirjaudu tilillesi voidakseen varmistaa E-space. " Ja sitten on tämä kaunis sininen houkuttelevia linkki sinne klikata koulutusaloille ja henkilöstölle, mikä sitten johti minut ihanan laillinen sivu, joka pyysi minua antamaan heille nimeni ja sähköpostiosoite ja tietenkin salasana validoida kuka olen ja niin edelleen. Mutta tietenkin, koska on aina tapaus, tulet tälle aloitussivulle, ja tietysti siellä on ainakin yksi kirjoitusvirhe, joka näyttää olevan naula arkkuun jokin näistä huijauksista. Ja me post kenties jotkut muut linkkejä tällaisia ​​kuvakaappauksia tulevaisuudessa. Mutta toivottavasti useimmat ihmiset Tässä huoneessa ei ole clicked-- tai vaikka olet klikannut tällaisia ​​yhteyksiä kuin tämä, Et ole mennyt niin pitkälle, täyttää lomakkeita ja niin edelleen. Itse asiassa, se on OK, jos sinulla on. Yritämme korjata, että tänään, koska, todellakin, tämänpäiväinen keskustelu on turvallisuudesta. Ja todellakin, yksi tavoitteet CS50 ei ole niin paljon opettaa sinulle CE tai PHP tai JavaScript tai SQL tai jokin näistä taustalla toteutuksen yksityiskohdat. Mutta se valtuuttaa voit ihmisinä vain tehdä fiksumpia päätöksiä kuin se liittyy teknologian alas tien niin, että olitpa insinöörin tai humanisti tai tutkija tai muu rooli, teet perusteltuja päätöksiä Tietoja oman computing käyttö, tai jos olet päätöksenteon asema, politiikassa, erityisesti, teet paljon, paljon parempia päätöksiä kuin Monet ihmiset nykyään ovat. Ja me teemme tämän tapa muutamia esimerkkejä. Aluksi olin melko yllättynyt äskettäin selvittää seuraavat. Niin salasanoja, tietenkin, ovat mitä useimmat meistä Käytä suojella data-- sähköposti, chat, ja kaikenlaisia ​​resursseja niin. Ja vain awkward-- ei show kädet, mutta hämmentynyt näyttää häpeän, kuinka moni teistä käyttää samaa salasanaa on paljon erilaisia ​​sivustoja? Voi, OK, joten me teemme käsissä. OK, joten paljon teet. Jokainen, joka tekee tämän, vain miksi? Ja mitä? Joo? Yleisö: Se on helppo muistaa, koska sinun ei tarvitse muistaa [kuultavissa]. DAVID J. MALAN: Joo, se on helppo muistaa. Se on täysin perusteltu, rationaalinen käyttäytyminen, vaikka riski olet laskemisesta itse klo näissä tapauksissa on vain yksi tai useampi näistä sivustoista on altis hakkerointi tai epävarma tai salasana on vain niin hiton guessable, kuka tahansa voi tajuta se. Ei vain yksi tili vaarantunut, mutta teoriassa mikä tahansa tilit olet internetissä. Tiedän siis voisin sanoa tänään, älä käytä samaa salasanaa kaikkialla, mutta se on paljon helpommin sanottu kuin tehty. Mutta on olemassa tekniikoita lieventävät että erityistä huolta. Nyt olen tapahtua esimerkiksi, että käyttää ohjelmaa nimeltä 1Password. Toinen suosittu yksi on nimeltään LastPass. Ja joukko CS50 henkilökunnan käyttöön yhden tai useampi näistä erilaisia ​​työkaluja. Ja pitkän tarinan lyhyesti, yksi takeaway tänään pitäisi olla, kyllä, saatat olla samaa salasanaa kaikkialla, mutta se on erittäin helppo enää tehdä. Esimerkiksi näinä päivinä, tiedän ehkä yksi minun kymmeniä tai satoja salasanoja. Kaikki minun muut salasanat ovat pseudo-satunnaisesti syntyy yksi näistä ohjelmista täällä. Ja pähkinänkuoressa, ja jopa vaikka useimmat näistä ohjelmista taipumus tulla ja vähän kustannuksia, voisitte asentaa tällaisen ohjelman, voisitte sitten tallentaa kaikki käyttäjätunnukset ja salasanat sisällä tämän ohjelman oman Macin tai PC: n tai vaikka mitä, ja sitten se olisi salattu tietokoneeseen mitä on toivottavasti erityisen pitkä salasana. Joten minulla on koko joukko salasanoja yksittäisiä sivustoja, ja sitten minulla on todella pitkä salasana, jota minä käyttää avata kaikki nuo muut salasanat. Ja mikä on mukavaa noin ohjelmistoja, kuten tämä on että kun käyt sivustolla, joka on kysyy käyttäjätunnusta ja salasanaa, näinä päivinä, en kirjoita Oma käyttäjätunnus ja salasana, koska, jälleen, en edes tiedä mitä useimmat minun salasanat. Minä sen sijaan osui näppäimistö pikakuvake, jonka tulos on käynnistää tätä ohjelmistoa kehottavat minua minun herrani salasanaa. En kirjoita, että yksi iso salasana, ja sitten selain täyttää automaattisesti mikä salasanani on. Joten todella, jos otat mitään muuta pois tänään kannalta salasanoja, nämä ovat ohjelmistoja, jotka ovat arvoltaan lataamista tai investoimalla niin että voit ainakin tauko että tietty tapa. Ja jos olet tyyppiä, joka on käyttämällä postit toteaa tai like-- ja kertoimet ovat ainakin yksi teistä is-- että tapa, liian, on riittävää todeta, pitäisi olla rikki. Nyt satuin löytää, seurauksena käyttää ohjelmistoa, seuraavat. Olin tilaaminen syötävät järjestely, Tämän hedelmäkori, äskettäin. Ja osuin erityinen näppäimistö pikakuvake kirjautua verkkosivuilla. Ja ohjelmisto käynnistyy pop-up, joka sanoi, oletko varma haluat minun automaattisesti lähetä tämä käyttäjätunnus ja salasana? Koska yhteys on epävarma. Yhteys ei ole HTTPS, turvallista, käyttämällä kyseistä protokollaa kutsutaan SSL, Secure Sockets Layer. Ja todellakin, jos tarkastellaan vasemmassa yläkulmassa tällä sivustolla, se on vain www.ediblearrangements.com, Ei HTTPS, joka ei ole niin hyvä. Nyt olin curious-- ehkä tämä on vain virheen ohjelmistossa. Varmasti jotkut verkkosivuilla kuten tämä, että monet meistä tietävät on ainakin salauksen tai HTTPS URL-kirjaa sinut sisään. Joten sain hieman utelias tänä aamuna. Ja sain pois minun CS50 taitoja, Olen avannut Chrome Inspector. Se ei ole edes paljon taitoa. Se vain osui oikeaan näppäimistö pikakuvake avaa tämä ylös. Ja tässä on iso ikkuna Chromen Inspector. Mutta mikä oli oikeastaan vähän traaginen ja naurettavaa olivat nämä kaksi riviä täällä. Ylös yläosassa, huomaa URL joka minun käyttäjätunnus ja salasana esitettiin. Saanen zoomata. Se oli täällä. Ja kaikki tämä on tavallaan mielenkiinnoton, paitsi asia aina klo vasen, joka alkaa http: //. Ja niin sitten OK, ehkä he vain lähettämällä käyttäjätunnukseni, joka on ei niin iso juttu. Ehkä salasanani saa lähettää myöhemmin. Se olisi eräänlainen mielenkiintoinen suunnittelun päätöstä. Mutta Ehei. Jos sitten katsoa pyynnöstä hyötykuorma, käyttäjätunnus ja salasana Olen sent-- ja minä pilkattiin näitä varten slide-- todella lähetettiin selkeä. Joten te mennä tähän erityisesti verkkosivuilla ja Tilauksen syötävät järjestely näin, ja todellakin, ilmeisesti, sillä kaikki tämä kerta kun olen tilannut heiltä, käyttäjätunnuksesi ja salasanasi menee perille selvä. Joten rehellisesti, tämä on täysin mahdoton hyväksyä. Ja se on niin vähäpätöinen välttää asioita näin suunnittelijana verkkosivuilla ja koska ohjelmoija verkkosivuilla. Mutta takeaway täällä meille käyttäjinä sivustot on vain ymmärtää, että kaikki se kestää on yksi tyhmä suunnittelu päätös, perusteettomat suunnittelu päätös, niin että nyt, jos tiedät salasanani on "Crimson" tästä verkkosivuilla, olet luultavasti juuri päässyt läjän muut sivustot, jotka minulla on nyt. Ja siellä ei ole paljon puolustuslinja, joka muuta kuin mitä Chang teki tänä aamuna. Hän meni Syötävät järjestelyt, jotka sijaitsee kadulla Cambridge, ja fyysisesti ostivat tämän meille. Se oli huomattavasti turvallisempi kuin käyttämällä verkkosivuilla tässä tapauksessa. Mutta yksityiskohtia pitää silmällä on todella mitä selaimessa ylös siellä. Mutta sekin voi olla hieman harhaanjohtavia. Niin toinen mielenkiintoinen Esimerkiksi ja keino puolustaa vastaan ​​this-- ja todella, katsotaanpa Tee se first-- keino puolustaa tätä on tekniikka että turvallisuus ihmiset olisivat soittaa kahden tekijän todennus. Onko kukaan tiedä, mitä ratkaisu ongelmia, kuten tämä tarkoittaa? Mikä on kahden tekijän todennus? Tai toisin sanoin, miten monet käytät sitä? OK, joten pari ujo ihmisiä. Mutta joo. Näin kätesi nousevat. Mikä on kahden tekijän todennus? Yleisö: Periaatteessa lisäksi ja kirjoittamalla salasanan, sinulla on myös toissijainen [kuulumaton] lähettää tekstiviestin puhelimeen klo [kuultavissa]. DAVID J. MALAN: Aivan. Lisäksi joitakin ensisijainen todentamisen, kuten salasana, sinulta kysytään toissijainen tekijä, joka on tyypillisesti jotain olet fyysisesti teitä, vaikka se voi olla jotain aivan muuta. Ja että asia on tyypillisesti matkapuhelin näinä päivinä, johon saat lähetti väliaikainen tekstiviestin, jossa lukee "Väliaikainen pass on 12345." Niin lisäksi minun salasana "Crimson" Minä myös täytyy kirjoittaa mitä tahansa sivusto on tekstasi minulle. Tai jos sinulla on tätä pankki tai sijoituksiin, joskus on näitä pikku dongles että itse asiassa on pseudo-random Number Generator rakennettu niihin, mutta sekä laitteen ja pankki tietää, mitä alkuperäisestä siemen on jotta he tietävät, niinkuin vähän koodia hieman avaimenperän marssii eteenpäin joka minuutti tai kaksi, arvojen muuttaminen, niin tekee, että arvon muutos pankin palvelimelle niin, että ne voidaan samalla todentaa teitä, ei vain salasanan, mutta että väliaikainen koodi. Nyt voit itse tehdä tämän Google. Ja suoraan sanottuna, tämä on hyvä tapa päästä, varsinkin jos käytät Gmail koko ajan selaimessa. Jos menet tätä URL täällä, joka on diat netissä tänään, ja sen jälkeen klikkaa 2-vaiheinen vahvistus, Sama todellinen asia siellä. Sinua pyydetään antamaan ne matkapuhelinnumerosi. Ja sitten, aina kun kirjaudut Gmail, sinua ei ainoastaan ​​pyytänyt salasanaa, mutta myös pieni koodi, joka saa lähettää puhelimeen tilapäisesti. Ja niin kauan kuin olet evästeet käytössä, ja niin kauan kuin et ole nimenomaisesti kirjautua ulos, sinun tarvitsee vain tehdä, että kerran aikaa, kuten silloin, kun istut alas uutta tietokonetta. Ja ylösalaisin täälläkin on, jos istua jossain nettikahvilassa tyyli tietokoneeseen tai vain ystäväsi tietokoneen, jopa jos ystävä vihamielisesti tai tietämättään on joitakin näppäimistö metsuri asennettu hänen tietokoneensa, niin, että kaikki mitä tyyppi on kirjautunut, vähintään joka toinen tekijä, että väliaikainen koodi, on lyhytaikainen. Joten hän tai kuka on vaarantuu tietokone ei voi kirjautua teille myöhemmin, vaikka kaikki muu haavoittuvuuden tai jopa salaamaton kokonaan. Facebook on tämäkin, kanssa, että URL-osoite tähän, jossa voit klikata Kirjaudu hyväksynnät. Niin täälläkin, jos et haluavat ystäviä säkissä ihmisiä, et halua olla tönäisi Facebookissa tai lähettämistä tilapäivityksiä sinulle, Kahden tekijän todennus tässä on luultavasti hyvä asia. Ja sitten on tämä muuta tekniikkaa kokonaan, vain tilintarkastus, joka on vielä hyvä asia meille ihmisille, jos kahden tekijän osoittautuu harmittaa, jossa, Tosin se voi, tai se ei vain ole saatavilla joitakin verkkosivuilla, minimaalisesti pitää silmällä, jos ja kun olet kirjautumalla sivustoja, jos ne voit, on hyvä tekniikka, too. Joten Facebook antaa myös tämän Kirjaudu ilmoitukset ominaisuus, jolloin milloin Facebook tajuaa, hm, David on Kirjaudu sisään joitakin tietokoneen tai puhelimen että emme ole koskaan ennen nähnyt maasta IP-osoitteen, joka näyttää tuntemattomia, he ainakin lähettää sinulle email mihin tahansa sähköpostiosoitteeseen olet käyttänyt, sanoen: tämä näyttää epäilyttävältä? Jos näin on, vaihda salasanasi välittömästi. Ja niin sielläkin, vain tilintarkastus käyttäytyminen vaikka olet ollut vaarantunut, voi ainakin kapea ikkuna aikana jotka olet haavoittuvia. Okei, kysyttävää siitä, että tavaraa tähän mennessä? Tänään on päivä saada kaikki teidän vainoharhaisuus vahvistanut tai kiistänyt. Tämä on lähinnä vahvistanut, valitettavasti. Joo? Yleisö: [kuulumaton] puhelin, mitä jos puhelin taukoja, ja sitten se on aina vaikea verify-- DAVID J. MALAN: Totta. Yleisö: Tai jos olet eri maa, ja he eivät anna sinun kirjaudu sillä [kuultavissa]. DAVID J. MALAN: Ehdottomasti. Ja niin nämä ovat ylimääräisiä kustannukset, jotka sinua aiheutuu. Aina tämä teema on kompromissi, kun kaikki. Ja sitten, jos puhelin katoaa, jos se rikkoutuu, jos olet ulkomailla, tai et vain ole signaali, kuten 3G tai LTE-signaali, sitten et itse pystyä todentamaan. Joten jälleen, nämä kaksi ovat kompromisseja. Ja joskus, se voi luoda paljon työtä sinulle seurauksena. Mutta se todella riippuu sitten siitä mitä odottaa hinnan sinulle on jotain olento vaarantua kokonaan. Joten SSL sitten on tämä tekniikka, me kaikki yleensä itsestäänselvyytenä tai olettaa on olemassa, vaikka se ei selvästikään ole kyse. Ja voit silti harhaan ihmisiä, vaikka, vaikka tämä. Joten tässä on esimerkki pankin. Tämä on Bank of America. Siellä on koko joukko näistä Harvard Square ja sen jälkeen. Ja huomaa, että tällä hyvin alkuun näyttö, siellä todellakin HTTPS. Ja se on vielä vihreä ja korosti meille osoittaa, että tämä on todellakin laillisesti suojattuun sivustoon, tai niin meille on koulutettu uskomaan. Nyt, paitsi että, vaikka, huomaa, että jos me zoomata, on tämä asia täällä, missä sinua pyydetään kirjautumaan sisään. Mitä tämä riippulukko tarkoittaa oikeutta siellä, vieressä käyttäjätunnukseni kysymään? Tämä on melko yleinen verkkosivuilla, too. Mitä tämä riippulukko tarkoittaa? Näytät kuin tiedät. Yleisö: Se ei tarkoita mitään. DAVID J. MALAN: Se ei merkitse mitään. Se tarkoittaa, että Bank of America osaa kirjoittaa HTML kuvan tunnisteet, eikö? Se todella tarkoittaa mitään, koska jopa me, käyttäen ensimmäisenä päivänä meidän look klo HTML, voi koodata jopa sivu punainen tausta ja kuva, kuten GIF tai vaikka mitä, että sattuu näyttämään riippulukko. Ja vielä, tämä on super yleinen sivustot, koska meillä on koulutettu ottamaan että, oi, riippulukko tarkoittaa turvallista, kun se oikeastaan ​​tarkoittaa vain tiedät HTML. Esimerkiksi takaisin seuraavana päivänä, voisin ovat vain laittaa tämä minun verkkosivuilla, väittäen se on turvallinen, ja kysyy, tehokkaasti, ihmisten käyttäjätunnukset ja salasanat. Joten etsivät URL on ainakin parempi vihje, koska se on rakennettu Chrome tai mitä selainta käytät. Mutta silloinkin, joskus asiat voivat mennä pieleen. Ja itse asiassa, et ehkä aina katso HTTPS, saati vihreänä. Onko kukaan teistä koskaan nähnyt näyttö näin? Saatat olla, itse asiassa, Aiemmin lokakuussa, kun unohdin maksaa meidän SSL-sertifikaatti, kuten sitä kutsutaan, ja olimme näköisenä Tämän tunnin tai kaksi. Niin olet luultavasti nähnyt asioita kuten tämä, jossa lakko-kautta, kuin punainen viiva, kautta protokollan URL tai jonkinlainen näyttö, joka on ainakin neuvokaa sinua yrittää edetä pidemmälle. Ja Google täällä kutsuu voit palata takaisin turvaan. Nyt tässä tapauksessa tämä vain tarkoitti, että SSL-varmenteen, että käytimme, iso, matemaattisesti hyödyllisiä numeroita jotka liittyvät CS50: n palvelimelle, olleet enää voimassa. Ja itse asiassa, voimme simuloida Tässä, kuten voit tehdä kannettavan tietokoneen. Jos menen Chrome täällä, ja mennään facebook.com, ja se näyttää tältä on turvallista. Mutta anna minun mennä eteenpäin nyt ja klikkaa riippulukko täällä. Ja anna minun mennä Connection, Varmenteen tiedot. Ja todellakin, mitä sinun katso tässä on nippu alemman tason tietoja kuka facebook.com todella on. Näyttää siltä, ​​että he ovat maksaneet rahaa yritys nimeltä ehkä DigiCert korkea Varmuus siitä, että on luvannut kertoa muualla maailmassa että, jos selain ei koskaan näe certificate-- voit ajatella se kirjaimellisesti kuin todistuksen, joka näyttää, että cheesy juttu ylhäällä left-- sitten facebook.com on, keitä he sanovat ne ovat, koska kaikki tällä kertaa, kun käyt verkkosivuilla, kuten cs50.harvard.edu tai facebook.com tai gmail.com, jotka käyttävät HTTPS URL, kulissien takana, siellä on tällainen kauppa tapahtuu automaattisesti teille, jolloin facebook.com, tässä tapauksessa, lähettää selaimesi sen niin kutsuttu SSL-varmenteen, tai pikemminkin, sen julkisen avaimen, ja sitten selaimen käyttää, että julkisen avaimen tämän jälkeen lähettää salattuja liikennettä ja siitä. Mutta on tämä koko hierarkia maailmassa yritysten että maksat rahaa, kuka sitten todistaa, digitaalisessa mielessä, että olet todellakin facebook.com tai palvelin on todellakin cs50.harvard.edu. Ja rakennettu selaimet, kuten Chrome ja IE ja Firefox, on luettelo kaikista niistä niin sanottu varmentajista jotka ovat luvan Microsoft ja Google ja Mozilla vahvistaa tai kieltää, että facebook.com on joka se väittää olevansa. Mutta saalis on, että nämä asiat eivät vanhene. Itse asiassa, Facebook näyttää se päättyy ensi lokakuussa vuonna 2015. Joten voimme todella simuloida tätä, jos en mene minun Mac minun System Preferences, ja menen Päivämäärä ja aika, ja Menen Päivämäärä ja aika täällä, ja avaan tämän here-- onneksi, emme paljasta salasanaa tämän time-- ja nyt menen alas poista tämä. Ja katsotaanpa actually-- oho, se ei niin kiinnostava kuin teet tämän. Olemme kirjaimellisesti tulevaisuudessa nyt, mikä tarkoittaa, tämä on mitä 2020 on. Jos minä nyt ladata page-- Tehdään se Ingognito mode-- jos en lataa sivu, siellä mennään. Joten nyt minun tietokone ajattelee se on 2020, mutta minun selaimessa tietää, että tämä todistus Facebook päättyy luonnollisesti vuonna 2015. Niin se antaa minulle tämän punaisen viestin. Nyt onneksi selaimet kuten Chrome on todella teki sen melko vaikea jatka silti. He todella haluavat minut palata turvallisuutta. Jos minä klikkaa tästä Advance, se on aio kertoa minulle joitakin lisätietoja. Ja jos todella haluan edetä, he anna minun mennä facebook.com, joka on, uudelleen, turvaton, jossa vaiheessa Nähdään Facebookin kotisivu, kuten tämä. Mutta sitten muut asiat näyttävät olevan rikkomatta. Mitä todennäköisesti rikkoo tässä vaiheessa? Yleisö: JavaScript. DAVID J. MALAN: Like JavaScript ja / tai CSS tiedostot ovat samalla kohdataan, että virhe. Joten tämä on vain huono tilanne kokonaisuudessaan. Mutta tässä on, että ainakin Facebook on todellakin SSL niiden palvelimet, kuten monet sivustot, tehdä, mutta ei välttämättä kaikkia. Mutta se ei yksin takeaway täällä. Osoittautuu, että edes SSL on osoitettu tietoturvattomille jollain tavalla. Joten olen tavallaan vihjaten että SSL, hyvä. Etsi HTTPS URL-osoitteita, ja elämä on hyvä, koska kaikki HTTP-liikennettä ja otsikot ja sisältö salataan. Kukaan ei pääse sen keskimmäinen, lukuun ottamatta ns mies keskellä. Tämä on yleinen tekniikka maailman turvallisuuden tiedossa kuten man-in-the-middle-hyökkäys. Oletetaan, että olet tässä vähän laptop tänne vasemmalle, ja kai yrität käydä palvelin tuolla oikealla, kuten facebook.com. Mutta oletetaan, että sinun ja Facebook, on koko joukko muita palvelimia ja laitteet, kuten kytkimet ja reitittimet, DNS ja DHCP servereitä, joista yksikään ei me hallitsemme. Se voi ohjata Starbucks tai Harvard tai Comcast tai vastaavaa. No, oletetaan, että joku vihamielisesti, verkossa, välillä sinulle ja Facebook, osaa kertoa että tiedät mitä, IP-osoite Facebook ei ole sitä mitä luulet sen olevan. Se on tämä IP sijaan. Ja niin selaimen huijataan pyynnön liikenne toisesta tietokoneen kokonaan. No, oletetaan, että tietokone yksinkertaisesti näyttää ollenkaan liikenteen pyydät alkaen Facebook ja kaikki web-sivuja että pyydät Facebookista. Ja milloin se näkee omassa liikenteessä URL-osoitteen alku on https, dynaamisesti, on lentää, kirjoittaa uudelleen sitä HTTP. Ja milloin se näkee sijainti otsikko, sijainti paksusuolen, kuten käytämme ohjata käyttäjä, nekin, voi muuttaa tätä miestä keskimmäinen alkaen HTTPS HTTP. Joten vaikka et itse ehkä Ajattele olet at todellinen Facebook, se ei ole niin vaikea Vastustaja jolla on fyysinen pääsy verkkoon yksinkertaisesti sivuilta löytyy teille, että näyttää Gmail, että näyttää Facebook, ja todellakin URL on identtisiä, koska he teeskentelee on tuo sama isäntänimi koska joidenkin hyväksikäytön DNS tai jokin muu sellainen. Ja tulos, sitten, on että me ihmiset vain saisivat ymmärtää, että OK, tämä näyttää Gmail tai ainakin vanhempi versio, kuten tämä dia vanhempi esitys. Mutta se näyttää this-- http://www.google.com. Niin tässäkin, todellisuus on se, että kuinka moni teistä, kun menet Facebook tai Gmail tai sivusto ja tiedät vähän jotain noin SSL, kuinka moni teistä fyysisesti kirjoitettava https: // ja sitten sivusto Nimi-kenttään. Useimmat meistä vain kirjoittaa, kuten, CS50, Enter, tai F-Facebook ja paina Enter, ja anna sen automaattinen täydennys. Mutta kulissien takana, jos katsella sinun HTTP-liikennettä, on luultavasti koko joukko näiden sijainti otsikot että lähetämme sinulle kohteesta Facebook www.facebook.com jotta https://www.facebook.com. Niin, että yksi tai useampi HTTP liiketoimia missä tieto on täysin lähettää selkeä, ei salausta lainkaan. Nyt, että ei ehkä ole niin suuri juttu, jos kaikki mitä yrität tehdä Pääsee kotisivu, et ole lähettämällä käyttäjätunnuksesi ja salasanasi. Mutta mitä on se alla huppu, erityisesti PHP-pohjaisia ​​web-sivustoja, joka on myös lähetetään edestakaisin, kun käyt joitakin hevosta, jos että sivusto käyttää vaikkapa PHP ja toteuttaa toimintoja, kuten pset7? Mitä lähetetään edestakaisin oman HTTP-otsikoita, että antoi sinulle pääsy tämän melko hyödyllinen Super maailmanlaajuinen PHP? Yleisö: Evästeet. DAVID J. MALAN: Evästeet, erityisesti PHP sess evästeen. Joten muistaa, jos menemme, vaikkapa cs50.harvard.edu uudelleen, mutta tällä kertaa, nyt avata Verkko-välilehti, ja nyt täällä, Katsotaanpa kirjaimellisesti vain mennä ja http://cs50.harvard.edu ja paina sitten Enter. Ja sitten katsoa näytöllä tänne. Huomaa, että olemme todellakin saaneet takaisin 301 muutti pysyvästi viesti, mikä tarkoittaa, että siellä paikalla otsikon täällä, joka ohjaa nyt minua HTTPS. Mutta saalis on, että jos minulla oli jo evästeen leimataan käteni käytännössä, kuten olemme keskustelleet aiemmin, ja Olen ihmisen tavallaan tietämättään vain vierailla turvaton versio, ja selain vie se tehtäväkseen osoittaa, että käsi postimerkki Ensimmäinen pyyntö, joka on HTTP, joku keskellä, mitään Vastustaja keskellä, voi teoriassa vain nähdä nämä HTTP otsikot, vain kuten me tarkastelemme niitä tässä. Se on vain kun olet puhuu HTTPS URL ei se käsi leima itse saada salattu, la Caesar tai Vigenere, mutta harrastaja algoritmin kokonaan. Niin täälläkin, vaikka sivustot käyttävät HTTPS, me ihmiset on ehdollistettu, kiitos automaattisen täydennyksen ja muita tekniikoita, jotta edes ajattele mahdollisia vaikutuksia. Nyt on olemassa tapoja kiertää tämän. Esimerkiksi, monet sivustot voidaan konfiguroida niin, että kun sinulla on tämä käsi leima, voit kertoa selainta, tämä käsi leima on vain SSL-yhteyksiin. Selaimen ei pidä esittää se minun tyköni, ellei se on ohi SSL. Mutta monet sivustot älä välitä siitä. Ja monet sivustot ilmeisesti eivät edes vaivaudu kanssa SSL ollenkaan. Joten siitä lisää, siellä on oikeastaan jopa enemmän likaa tässä esityksessä että kaveri antoi periksi niin sanottu musta hattu konferenssi pari vuotta sitten, missä on myös muita ilkeä temppuja ihmiset ovat käyttäneet. Saatat muistaa tämä käsitettä favicon, joka on kuin pieni logo, joka on usein selaimen ikkunassa. No, mitä on ollut yleisempää roistoja on tehdä Fab kuvakkeita, jotka näyttävät mitä? Yleisö: [kuulumaton]. DAVID J. MALAN: Sano uudestaan? Yleisö: sivustot. DAVID J. MALAN: Ei verkkosivuilla. Niin favicon, pikku kuvake. Mikä olisi kaikkein ilkeä, manipuloiva asia voit tehdä sivustosi oletuskuvakkeen näyttää? Yleisö: vihreä lukko. DAVID J. MALAN: Mikä tämä on? Yleisö: pieni vihreä lukko. DAVID J. MALAN: Like vihreä lukko, tarkalleen. Joten voit olla esteettisen on pieni vihreä riippulukko, vihjaten maailmalle, oh, olemme turvallinen, kun taas kaikki se merkitsee on, että tiedät joitakin HTML. Joten istunnon kaappaamisen tarkoittaa juuri sitä. Jos sinulla on joku, joka on eräänlainen haistaa radioaallot tässä huoneessa täällä tai on fyysinen pääsy verkko ja näkee evästeet, hän voi napata että PHP sess evästeen. Ja sitten, jos he taju riitä, että tietää miten lähettää että evästeen omakseen käsi leima vain kopioimalla että arvo ja lähettämällä HTTP-otsikkotietoja, joku voisi hyvin helposti kirjautua mihinkään Facebook tilejä tai Gmail-tilejä tai Twitter-tilejä, jotka ovat tässä, avoin huoneessa, jos et käytä SSL ja jos sivusto on ei SSL oikein. Joten siirtyminen toiseen. Joten toinen tositarina. Ja tämä vain katkesi Uutiset viikko tai kaksi sitten. Verizon on tehnyt hyvin paha asia, ja koska parhaat ihmiset voivat kertoa, ainakin vuodesta 2012, jolloin, kun käyttää internetiä kautta Verizon kännykkä, mitä valmistaja on, ne ovat olleet ylimielisesti, Kuten tarina menee, ruiskuttaa kaikki HTTP liikenne omia HTTP header. Ja että otsikko näyttää kuten this-- X-UIDH. UID on kuin ainutlaatuinen tunnus tai käyttäjätunnus. Ja X tarkoittaa vain sitä, tämä on mukautettu otsikko, joka ei ole vakio. Mutta mitä tämä tarkoittaa on, että jos vedän ylös, Esimerkiksi tahansa verkkosivuilla puhelimessani here-- ja olen käyttäen Verizon minun carrier-- vaikka minun selain ei ehkä lähettää tämän HTTP header, Verizon, niin pian koska signaali saavuttaa heidän kännykkä torni jonnekin, on ollut jo jonkin aikaa pistämistä header kaikkiin meidän HTTP-liikennettä. Miksi he tekevät tämän? Oletettavasti seuranta syistä, mainontaa syistä. Mutta moronic suunnittelupäätös tässä on, että HTTP-otsikon, kuten te tiedätte mistä pset6, vastaanotetaan tahansa web-palvelin että pyydät liikennettä. Joten koko tämän ajan, jos olet vierailulla Facebook tai Gmail tai jokin sivusto joka ei käytä SSL kaikkia time-- ja itse asiassa, ne kaksi onneksi nyt do-- mutta muut sivustot, jotka älä käytä SSL koko ajan, Verizon on olennaisesti kylväneet, väkisin, käsi leiman kaikille käsiä että vaikka emme näe, vaan, pää sivustot tekevät. Ja niin se ei ole ollut, että kova kaikille internetissä käynnissä web-palvelin ymmärtää, ooh, tämä on David, tai, ooh, tämä on Davin, vaikka olemme tiukkaa selvittelyä meidän evästeet, koska se ei ole lähtöisin meiltä. Se on lähtöisin harjoittaja. Ne tekevät lookup puhelinnumerosi ja sitten sanoa, oi, tämä on David. Saanen pistää yksilöllinen tunniste niin että mainostajat tai kuka voi seurata tämän. Joten tämä on todella hyvin, hyvin, hyvin huono ja kauhistuttavia. Ja haluan rohkaista teitä katsomaan, esimerkiksi, Tämän URL, joka minun pitäisi Kiistämme Olen itse kokeillut tätä tänä aamuna. Kirjoitin pieni skripti, laita se tässä URL-osoitteessa, kävi sen omin Verizon Matkapuhelin kääntymisen jälkeen Wi-Fi pois päältä. Joten sinun täytyy ottaa Wi-Fi pois niin, että käytät 3G tai LTE tai vastaavaa. Ja sitten, jos käyt Tämän URL-osoitteen, kaikki tämä kirjoitus tekee sinulle kaverit, jos haluat pelata, on se sylkee mitä HTTP-otsikoita puhelimesi lähettää palvelimelle. Ja minä itse, oikeudenmukaisuus, teki näe tätä tänä aamuna, joka saa minut ajattelemaan joko paikallisen kännykkä torni Olin liitetty tai vaikka mitä ei tee sitä, tai he ovat perääntyi tehdä tämän tilapäisesti. Mutta lisätietoja, suunnata tätä URL täällä. Ja nyt this-- tähän Comic saattaisi olla järkevää. Ei? OK. Selvä. Joka kuoli. Selvä. Joten katsomaan pari lisää iskut, jos vain lisätä tietoisuutta ja sitten tarjota pari mahdollisia ratkaisuja niin että olet sitäkin tietoinen. Tämä yksi puhuimme muista päivä, mutta ei antanut nimeä sille. Se on cross-site pyynnöstä väärennös, joka on liian hieno tapa sanoa voit huijata käyttäjä napsauttamaan URL kuten tämä, joka temppuja niitä johonkin käyttäytyminen he eivät aio. Tässä tapauksessa tämä näyttää voidaan yrittää huijata minua osaksi myydä osakkeeni Google. Ja tämä onnistuu, jos Minä, ohjelmoija pset7, ole tehneet mitä? Tai pikemminkin, yleisemmin, mitä tapauksissa olen altis hyökkäys jos joku huijaa toinen käyttäjä napsauttamaan URL kuin tämä? Joo? Yleisö: Et erottaa välillä GET ja POST. DAVID J. MALAN: Hyvä. Jos emme eroa välillä GET ja POST, ja todellakin, jos sallimme GET myynti- asioita, me kutsua tällaista hyökkäystä. Mutta voisimme silti lieventää sitä hieman. Ja minä kommentoi, luulen, viime viikolla, että Amazon ainakin yrittää lieventää tätä tekniikkaa se on melko yksinkertainen. Mikä olisi fiksu juttu tehdä olla oma palvelin, eikä vain sokeasti myy mitä symboli käyttäjä on? Yleisö: Vahvistus tapaisena? DAVID J. MALAN: varmennusnäytössä jotain, johon ihmisen vuorovaikutusta niin, että minun on pakko tehdä tuomion puhelun, vaikka olen sinisilmäisesti klikkasin linkki, joka näyttää tältä ja johdatti minut solun näyttö, kello ainakin pyysi minua vahvistaa tai kieltää. Mutta ei harvinaista hyökkäys, erityisesti ns phishing tai roskapostin kaltaiset hyökkäyksiä. Nyt tämä yksi on hieman hienovaraisempaa. Tämä on cross-site scripting hyökkäys. Ja tämä tapahtuu, jos sivusto ei käytä vastaa htmlspecialchars. Ja se kestää käyttäjä syöttää ja juuri sokeasti suonensisäinen se web-sivun, kuten painatuksella tai kaiku, with-- again-- ulos soittaa jotain kuten htmlspecialchars. Joten kai verkkosivuilla kysymys on vulnerable.com. Ja kai se hyväksyy parametri nimeltä q. Katsokaa, mitä voisi tapahtua jos olen itse, pahis, kirjoita tai huijata käyttäjän tulee vierailevat URL, joka näyttää this-- q = auki komentosarjatunnus, suljettu komentosarjatunnus. Ja vielä, olen olettaen että vulnerable.com ei ole kääntymässä vaaralliseksi merkkejä, kuten avoin suluissa HTML yhteisöjä, & -merkki, L-T, puolipiste asia että olet ehkä nähnyt ennen. Mutta mikä on käsikirjoitus tai JavaScript-koodia Yritän huijata Käyttäjän tarvitsee täytäntöönpanosta? No, document.location viittaa minun selaimen nykyinen osoite. Joten jos en document.location =, tämä antaa minulle mahdollisuuden ohjata käyttäjä JavaScript toiselle sivustolle. Se on kuin meidän PHP funktio ohjata, mutta tehnyt JavaScript. Jos yritän lähettää käyttäjälle? No, ilmeisesti, badguy.com/log.php, mikä on noin käsikirjoitus, ilmeisesti, pahis kirjoitti, että otetaan parametri nimeltä eväste. Ja ilmoitus, mitä voin tehdä näyttävät olevan ketjuttamalla kiinni loppuun, että yhtäläisyysmerkki? No, jotain joka sanoo document.cookie. Emme ole puhuneet tästä. Mutta näyttää siltä, ​​vuonna JavaScript, kuten PHP, voit käyttää kaikkia evästeitä että selaimesi on todellisuudessa käyttävät. Joten vaikutus tämän yhden rivi koodia, jos käyttäjä huijataan klikkaamalla tätä linkkiä ja verkkosivusto vulnerable.com ei paeta sitä htmlspecialchars, on, että sinulla on vain tehokkaasti ladataan log.php kaikki evästeet. Ja se ei ole aina että ongelmallinen, paitsi jos jokin näistä evästeet on istunnon tunnus, sinun niin sanottu käden leima, joka tarkoittaa badguy.com voi tehdä oman HTTP-pyyntöjä, lähettää saman käden leima, että sama evästetunnuksen, ja kirjautua tahansa verkkosivuilla olit vierailulla, joka Tällöin on vulnerable.com. Se on cross-site scripting isku mielessä että olet tavallaan huijaa kuvapankissa osaksi kerronnan toisen sivuston joitakin tietoja sen ei pitäisi, itse asiassa, on pääsy. Okei, valmiina yksi muut huolestuttava yksityiskohta? Okei, maailma on pelottava paikka, oikeutetusti niin. Tässä on yksinkertainen JavaScript esimerkiksi se nykypäivän lähdekoodin kutsutaan geo- 0 ja 1. Ja siellä on pari walkthroughs verkossa tähän. Ja se seuraava, jos minä avaa tämä verkkosivu Chromessa. Se ensimmäinen ei tee mitään. OK, me yritämme tätä uudelleen. Oh. Ei, se pitäisi tehdä jotain. OK, seisovat. Kokeillaan vielä kerran. [Äänetön] Ah, ok, ei ole varma miksi the-- oh, laite luultavasti kadonnut internet yhteys jostain syystä. Okei, niin tapahtuu minulle, liian. Okei, joten huomautus mitä täällä tapahtuu. Tämä arvoituksellinen näköinen URL, joka on vain yksi CS50 palvelin, haluaa käyttää tietokoneeni sijainti, kuten fyysisesti se tarkoittaa. Ja jos todellakin olen klikkaa Salli, katsotaanpa mitä tapahtuu. Ilmeisesti tämä on minun nykyinen leveys- ja pitkittäinen koordinoi alas on tosi hyvä resoluutio. Joten miten saan tämän? Miten tämä sivusto, kuten CS50-palvelin, tietää fyysisesti missä päin maailmaa Olen, puhumattakaan kanssa tarkasti. No, kääntyy out-- haluan vain katso sivun source-- että täällä on joukko HTML at pohja, joka on ensin this-- elin onload = "Paikanna maantieteellisesti" - vain toiminnon kirjoitin. Ja minä sanon, kuormaamisen sivu, soita Paikanna maantieteellisesti. Ja sitten ei ole mitään kehossa, koska head-sivun, huomaa, mitä minulla on täällä. Tässä on minun Paikanna maantieteellisesti toiminto. Ja tämä on vain jokin virhe checking-- jos tyyppi navigator.geolocation ei ole määritelty. Joten JavaScript on tämä mekanismi, jossa voi sanoa, mikä on tyyppi tämä muuttuja? Ja jos se ei ole undefined-- se tarkoittaa, että se on jonkin verran value-- Aion soittaa navigator.geolocation.getCurrentPosition ja sitten soittopyyntöjä. Mikä tämä on? Niin yleensä, mikä on soittopyynnön, vain olla selvä? Saatat törmännyt tämä jo pset8. Soittopyyntö on geneerinen Termi mistäkin? Tuntuu vain minulle tänään. Yleisö: [kuulumaton]. DAVID J. MALAN: Aivan, toiminto, joka pitäisi kutsua vain kun meillä on tietoa. Tämä puhelu selain, saat minun nykyinen asennossa, saattaa kestää yhden millisekunnin, se saattaa kestää hetken. Mitä tämä tarkoittaa, kerromme GET getCurrentPosition menetelmä, kutsua tätä soittopyynnön toiminto, jonka minä kirjaimellisesti nimetty soittopyyntö yksinkertaisuuden, joka ilmeisesti on tämä yksi täällä. Ja miten getCurrentPosition toimii, yksinkertaisesti lukemalla asiakirjat Joidenkin JavaScript-koodi verkossa, on että se vaatii, että niin sanottu soittopyyntö toiminto, kulkee sen se JavaScript olio, jonka sisällä on .coords.latitude ja .coords.longitude, joka on täsmälleen, miten sitten kun ladataan tämän sivun, Pystyin näkemään sijaintini täällä. Nyt ainakin oli puolustus täällä. Ennen kävin tämän sivun, kun se todella toiminut, Mitä minä ainakin kysytään? Yleisö: [kuulumaton]. DAVID J. MALAN: Kyllä tai no-- tehdä haluat sallia tai estää tämän? Mutta ajattele, myös siitä, tottumukset Olette varmaan hyväksytty, sekä puhelimet ja selaimet. Monet meistä, minä mukana, ovat luultavasti melko alttiita nämä days-- sinua nähdä pop-up, vain Enter, OK, hyväksyä, Salli. Ja yhä, voit laittaa itse vaarassa näistä syistä. Joten itse asiassa, oli tämä ihana bugi muutaman vuoden ago-- tai puute feature-- että iTunes oli muutama vuosi sitten, jolloin, jos sinulla on ollut matkapuhelin, ja se oli iPhone, ja jätit kotiin ja siksi matkustanut ympäri maailmaa tai naapuruston, kaikki tällä kertaa, Puhelimen oli kirjautumassa missä olet kautta GPS. Ja tämä on todella esitetty, ja ihmiset tavallaan odottaa tätä nyt. Puhelimessa tietää missä olet. Mutta ongelma oli, että kun olit varmuuskopiointiin puhelimen iTunes-- tämä oli ennen päivän iCloud, joka on parempi tai worse-- data tallennetaan iTunesissa, täysin salaamaton. Joten jos sinulla on perhe tai kämppäkaverini tai ilkeä naapuri, joka on utelias kirjaimellisesti jokaisen GPS koordinoida olet koskaan ollut, hän voisi vain istuutua iTunes, suorita joitakin ohjelmia, jotka oli vapaasti saatavilla, ja laatimaan kartat näin. Itse asiassa, tämä on mitä olen tuotetaan oman puhelimen. Laitoin sen kiinni. Ja näyttää siltä, ​​perustuu sinisellä pisteitä siellä, siitähän useimmat GPS-koordinaatit olivat kirjautunut iTunes että minä oli Koillis siellä. Mutta en ilmeisesti kiertänyt vähän, jopa Massachusetts. Niin, että Boston Harbor siellä oikealla. Sellainen Cambridge ja Bostonissa, jossa se on tummin. Ja joskus haluaisin ajaa asioilla suurempi maantiede. Mutta iTunes, vuosia, oli, kuten paras Voisin kertoa, kaikki tämä tieto minua. Voisit kertoa, että että vuosi, olin itse matkustellut paljon välillä Boston ja New Yorkissa, menee edestakaisin ja edestakaisin. Ja todellakin, tämä on minulle Amtrak, takaisin edestakaisin, edestakaisin, melko vähän. Kaikki tämä oltiin hakattu tallennetaan salattuna tietokoneeseeni kaikille, jotka saattavat olla pääsyn tietokoneeseen. Tämä oli huolestuttava. En tiedä, miksi olin Pennsylvaniassa tai miksi Puhelimeni Pennsylvaniassa, ilmeisesti melko tiheään. Ja sitten lopuksi katsoin minun Gcal, ja, oh, I vieraili CMU, Carnegie Mellon, tuolloin. Ja huh huh, että sellainen selitti, että täplä. Ja sitten, jos zoom lisätutkimuksia, voit katso Kävin San Franciscossa yhden tai useamman kerran sen jälkeen, ja minulla oli jopa välilaskun mitä Mielestäni on Vegas, siellä. Joten kaikki this-- vain välilasku, lentokentällä. Yleisö: [Naurua] Joten tämä on vain sanoa, että nämä ongelmia, rehellisesti, ovat läsnä kaikkialla. Ja se vain tuntuu yhä kuin olisi enemmän ja enemmän tämän paljasteta, mikä on luultavasti hyvä asia. Uskallan väittää, maailma ei ole pahenevat kirjoittaminen ohjelmisto. Saamme paremmin, Toivottavasti at huomaamatta kuinka huono tiettyjä ohjelmistoja on, että käytämme. Ja onneksi jotkut yritykset ovat alkaneet olla tilivelvollisia tähän. Mutta millaisia ​​puolustuksemme voi sinulla on mielessä? Siis sen lisäksi, salasana johtajat, kuten 1Password ja LastPass ja muut, lisäksi vain muuttamalla salasanoja ja keksimään satunnainen niistä käyttämällä ohjelmistoja, kuten että voit myös kokeilla parhaasi salata kaikki liikenne Ainakin kapea vyöhyke uhka. Joten esimerkiksi, kuten Harvardin tytäryhtiöt, voitte mennä vpn.harvard.edu ja kirjaudu sisään Harvardin tunnus ja PIN-koodi. Ja tämä muodostaa suojatun yhteys sinun ja Harvard. Nyt, että ei välttämättä suojaa sinua kaikkia uhkia, jotka ovat välillä Harvardin ja Facebookissa tai Harvardin ja Gmail. Mutta jos istut lentoasemalla tai olet istuu Starbucks tai olet istuu ystävän luona, ja et todellakaan luota heihin tai heidän kokoonpano kotimaansa reititin, ainakin voit luoda suojattu yhteys jotta kokonaisuus kuin tämä paikka, joka on luultavasti hieman paremmin turvattu kuin jotain Starbucks tai vastaavaa. Ja mitä tämä tekee on se vahvistaa uudelleen, salausta sinun ja päätepiste. Jopa harrastaja ovat asioita, kuten tämä. Joten jotkut teistä ehkä jo tunnettava Tor, joka on tämmöinen nimettömäksi verkko, jossa on paljon ihmisiä, jos ne suorittaa tämän ohjelman, reitti myöhemmin heidän internet liikenne toistensa läpi. Joten lyhin kohta on ei enää A ja B välillä Mutta se saattaa olla koko paikalleen niin, että olet lähinnä joka kattaa yhden jälkiä ja lähtevät vähemmän ennätys siitä, missä HTTP liikenne tuli, koska se on menossa läpi koko joukko muiden ihmisten kannettavat tai pöytäkoneet, parempaan tai huonompaan. Mutta tämäkään ei ole varma asia. Jotkut teistä saattavat muistaa viime vuonna pommiuhkaan joka kutsuttiin. Ja se jäljitettiin lopulta Käyttäjä, jotka olivat käyttäneet tätä verkkoa täällä. Ja saalis siellä, muistaakseni, on, jos ei ole, että monet muut ihmiset käyttämällä ohjelmistoja, kuten tämä tai käyttämisen ja protokollan, se ei ole niin vaikea verkkoon edes selvittää, kuka, tietyllä todennäköisyydellä, oli itse asiassa anonymisoivan hänen liikennettä. Ja en tiedä, jos ne olivat Varsinainen kyseiset asiakirjat. Mutta varmasti ymmärtää, että mikään nämä ovat vuorenvarma ratkaisuja, samoin. Ja tavoitteena on täällä tänään vähiten saada sinut ajattelemaan näitä asioita ja keksiä tekniikoita puolustat heitä vastaan. Kysyttävää kaikki uhat jotka odottavat sinua siellä ja täällä? Joo? Yleisö: Kuinka turvallista tehdä odotamme keskimäärin [? verkkosivuilla on,?] kuten keskimääräinen CS50 projekti? DAVID J. MALAN: Keskimääräinen CS50 projekti? Se on aina osoittautunut joka vuosi, että Joissakin CS50 lopullinen hankkeet eivät ole Erityisen turvallinen. Yleensä se on noin kämppäkaveri tai hallmate että luvut tämän ulos lähettämällä pyyntöjä projektin. Lyhyt answer-- kuinka monta sivustot ovat turvallisia? En kiusaa tänään poikkeavuuksia. Kuten se oli vain sattuma että tajusin, että tämä sivusto Olen tilannut näitä rehellisesti herkullinen järjestelyt from-- ja en ole varma I will lopeta niiden verkkosivuilla; Voisin vain vaihdan salasanan enemmän regularly-- se ei ole selvää, kuinka haavoittuvia kaikki nämä various-- tämä on suklaalla päällystettynä todellisuudessa. Lyhyt vastaus, en voi vastata, että tehokkaasti, muut kuin sanoa se ei ollut minulle vaikeaa löytää joitakin näistä esimerkeistä juuri vuoksi keskustelun luento. Ja vain pitää silmällä Google News ja muut resurssit tuo kaikki enemmän tällaisia ​​asioita esiin. Okei, katsotaanpa tehdä Tämän esiosa että CS50 tiimi on valmiina teitä varten ennakoiden CS50 hackathon. Ja matkalla ulos hetki, hedelmiä tarjoillaan. [VIDEOTOISTOSTA] [MUSIC FERGIE, Q kärki ja GOONROCK " LITTLE PARTY ole tappanut KUKAAN (ALL WE GOT) "] - [SNORING] [END VIDEOTOISTOSTA] DAVID J. MALAN: Se on se CS50. Nähdään keskiviikkona. [MUSIC - Skrillex, "IMMA" Kokeile "]