1 00:00:00,000 --> 00:00:11,300 2 00:00:11,300 --> 00:00:15,490 >> DAVID J. Malan: Ceci est CS50, ce qui est le début de la semaine 10. 3 00:00:15,490 --> 00:00:19,460 Vous vous souviendrez que nous avons montré sur l'écran, une imprimante 3D, qui 4 00:00:19,460 --> 00:00:21,610 est ce dispositif qui prend des bobines de plastique 5 00:00:21,610 --> 00:00:24,840 et expulse alors il en le chauffant et la fonte de sorte que nous pouvons ensuite 6 00:00:24,840 --> 00:00:27,310 former l'armée de Chang de éléphants, par exemple. 7 00:00:27,310 --> 00:00:29,184 >> Donc à Leverett House, si, récemment, je 8 00:00:29,184 --> 00:00:31,850 discutais avec un de vos camarades de classe et un ami de Chang 9 00:00:31,850 --> 00:00:35,720 nommé Michelle, qui fait un stage à cette autre société de cette dernière année que 10 00:00:35,720 --> 00:00:40,010 a une technique différente pour réellement la création d'objets en trois dimensions, 11 00:00:40,010 --> 00:00:41,890 comme ce tout petit éléphant ici. 12 00:00:41,890 --> 00:00:45,550 En particulier, la façon dont cela fonctionne est qu'il est un exemple de quelque chose 13 00:00:45,550 --> 00:00:49,740 appelée stéréolithographie, de sorte que il ya ce bassin de résine ou liquide, 14 00:00:49,740 --> 00:00:53,340 et puis un laser frappe que liquide, et peu à peu, le dispositif 15 00:00:53,340 --> 00:00:56,990 les ascenseurs et les ascenseurs et ascenseurs de la chose que vous imprimez, comme un éléphant, 16 00:00:56,990 --> 00:00:58,676 en tant que liquide devient solide. 17 00:00:58,676 --> 00:01:00,550 Le résultat, en fait, est quelque chose qui est 18 00:01:00,550 --> 00:01:04,194 beaucoup plus robuste que certains de le plastique des cadeaux certains d'entre vous 19 00:01:04,194 --> 00:01:04,819 aurait pu avoir. 20 00:01:04,819 --> 00:01:06,860 >> Et ce que Chang gentiment fait pour nous ici est 21 00:01:06,860 --> 00:01:12,210 fait un time-lapse aide de photographies au cours d'une heure ou plus, 22 00:01:12,210 --> 00:01:14,580 probablement, pour produire ce type ici. 23 00:01:14,580 --> 00:01:19,060 Est-ce que quelqu'un qui n'a jamais venu avant voulez venir cliquez sur Start sur cette vidéo? 24 00:01:19,060 --> 00:01:21,250 Laissez-moi aller avec, que diriez-vous là-bas. 25 00:01:21,250 --> 00:01:21,790 Venez sur place. 26 00:01:21,790 --> 00:01:24,960 27 00:01:24,960 --> 00:01:25,460 Bien. 28 00:01:25,460 --> 00:01:29,250 29 00:01:29,250 --> 00:01:29,896 Et vous êtes? 30 00:01:29,896 --> 00:01:31,270 LUKE: Luc de mon nom [inaudible]. 31 00:01:31,270 --> 00:01:31,700 DAVID J. Malan: Salut, Luke. 32 00:01:31,700 --> 00:01:32,695 Ravi de vous rencontrer. 33 00:01:32,695 --> 00:01:33,653 >> LUKE: Ravi de vous rencontrer. 34 00:01:33,653 --> 00:01:35,120 PUBLIC: Il court pour UC. 35 00:01:35,120 --> 00:01:38,640 >> DAVID J. Malan: Je sais, nous essayons de ne pas promouvoir. 36 00:01:38,640 --> 00:01:41,240 Très bien, alors Luke, tous vous avez à faire ici dans CS50 37 00:01:41,240 --> 00:01:45,829 est sur la barre d'espace imprimer cet éléphant. 38 00:01:45,829 --> 00:01:46,495 [VIDEO LECTURE] 39 00:01:46,495 --> 00:01:49,988 - [Ronronnement de la machine] 40 00:01:49,988 --> 00:02:00,467 41 00:02:00,467 --> 00:02:01,964 - [Crash] 42 00:02:01,964 --> 00:02:04,459 - [BOOM] 43 00:02:04,459 --> 00:02:06,147 - [Crash] 44 00:02:06,147 --> 00:02:06,980 [FIN LECTURE VIDÉO] 45 00:02:06,980 --> 00:02:09,370 DAVID J. Malan: Alors qui est exactement à quoi ça ressemble à l'impression 3D. 46 00:02:09,370 --> 00:02:10,453 Et voici votre éléphant. 47 00:02:10,453 --> 00:02:12,100 Merci pour le bénévolat. 48 00:02:12,100 --> 00:02:12,830 Bien. 49 00:02:12,830 --> 00:02:16,580 Encore une fois, par le cahier des charges le projet final, ce matériel qui est 50 00:02:16,580 --> 00:02:18,890 disponible à vous les gars est, pour une raison quelconque, 51 00:02:18,890 --> 00:02:21,870 votre projet a une certaine intersection de logiciels et de matériel, 52 00:02:21,870 --> 00:02:24,650 se rendent compte que ce sont maintenant les ressources. 53 00:02:24,650 --> 00:02:27,750 >> Je voulais prendre un moment pour toucher sur un article Crimson qui est sorti 54 00:02:27,750 --> 00:02:30,541 la nuit dernière, qui était de annoncer que cet homme ici, David 55 00:02:30,541 --> 00:02:33,920 Johnson, qui a été le principal précepteur pour Ec 10 depuis un certain temps, 56 00:02:33,920 --> 00:02:36,210 quitte à la Harvard fin de l'année scolaire. 57 00:02:36,210 --> 00:02:38,390 Et je voulais juste prendre un moment, honnêtement, 58 00:02:38,390 --> 00:02:41,620 à remercier David devant CS50. 59 00:02:41,620 --> 00:02:44,360 Il a été un mentor de sortes à nous au fil des ans. 60 00:02:44,360 --> 00:02:46,980 >> Et je me sens comme nous, CS50, avoir plutôt grandi avec Ec 10 61 00:02:46,980 --> 00:02:48,870 ici, car ils sont juste devant nous. 62 00:02:48,870 --> 00:02:52,040 Et lui et toute l'équipe dans Ec 10 a été merveilleusement gracieux, franchement, 63 00:02:52,040 --> 00:02:55,410 que nous traînons dans tous nos équipements chaque semaine, et il ya des années, 64 00:02:55,410 --> 00:02:57,320 fourni beaucoup des avocats que nous étions 65 00:02:57,320 --> 00:02:59,520 curieux de savoir comment ils fonctionnent Ec 10. 66 00:02:59,520 --> 00:03:02,640 Donc, nos remerciements et admiration pour David Johnson. 67 00:03:02,640 --> 00:03:06,560 >> [Applaudissements] 68 00:03:06,560 --> 00:03:08,030 69 00:03:08,030 --> 00:03:12,180 >> Maintenant, unrelatedly, de sorte la fin est tout proche. 70 00:03:12,180 --> 00:03:13,630 Nous sommes ici dans la semaine 10. 71 00:03:13,630 --> 00:03:15,920 Et nous avons à peine une quelques semaines formelles 72 00:03:15,920 --> 00:03:18,320 ici à gauche de classe, suivie par un couple d'événements. 73 00:03:18,320 --> 00:03:21,860 Donc, pour vous donner une idée de ce qui est à l'horizon, nous sommes ici aujourd'hui. 74 00:03:21,860 --> 00:03:24,480 >> Ce mercredi, le rappel, nous aurons un conférencier invité 75 00:03:24,480 --> 00:03:27,040 par nul autre que Propre Steve Ballmer de Microsoft. 76 00:03:27,040 --> 00:03:31,740 Si vous avez pas encore allé à cs50.harvard.edu/register, 77 00:03:31,740 --> 00:03:33,360 faire, puisque l'espace est limité. 78 00:03:33,360 --> 00:03:36,447 Et ils vérifieront ID à la porte ce jour. 79 00:03:36,447 --> 00:03:38,280 Si vous n'êtes pas ici la semaine dernière, je pensais que je 80 00:03:38,280 --> 00:03:41,850 vous taquiner avec un regard différent à Steve et l'excitation que 81 00:03:41,850 --> 00:03:44,215 qui nous attend mercredi. 82 00:03:44,215 --> 00:03:45,205 >> [VIDEO LECTURE] 83 00:03:45,205 --> 00:03:46,195 >> -Une Passion. 84 00:03:46,195 --> 00:03:50,650 >> -Nous Sommes va être hard hardcore--. 85 00:03:50,650 --> 00:03:51,640 >> -Innovator. 86 00:03:51,640 --> 00:03:53,339 >> -Projet De loi dit, vous ne l'obtenez pas. 87 00:03:53,339 --> 00:03:55,130 Nous allons mettre un ordinateur sur chaque bureau 88 00:03:55,130 --> 00:03:58,690 et dans chaque foyer, qui est devenu la devise de la société. 89 00:03:58,690 --> 00:04:01,850 Je vous jure, le projet de loi a inventé ce soir-là pour me donner vraiment 90 00:04:01,850 --> 00:04:04,370 une partie de la vision de pourquoi devrais-je dire oui. 91 00:04:04,370 --> 00:04:07,280 Je ne l'ai jamais regardé en arrière, vraiment, après que. 92 00:04:07,280 --> 00:04:10,010 >> -frais De collège, il rejoint une start-up naissante 93 00:04:10,010 --> 00:04:14,450 et a aidé à grandir dans l'un des l'Amérique la plupart des entreprises qui réussissent jamais. 94 00:04:14,450 --> 00:04:16,920 La vie des affaires et les leçons apprises en cours de route 95 00:04:16,920 --> 00:04:19,925 le laisser revenir à son passion d'enfance et de l'amour. 96 00:04:19,925 --> 00:04:24,650 Et ces expériences ont préparé lui pour son prochain défi dans la vie. 97 00:04:24,650 --> 00:04:27,150 >> -Rien Obtient dans notre essor way--! 98 00:04:27,150 --> 00:04:29,330 Gardez à venir hard! 99 00:04:29,330 --> 00:04:31,150 Aller Clippers! 100 00:04:31,150 --> 00:04:38,627 >> -Cette Est Steve Ballmer, "In My Own Words». 101 00:04:38,627 --> 00:04:39,460 [FIN LECTURE VIDÉO] 102 00:04:39,460 --> 00:04:41,240 DAVID J. Malan: --Ce Mercredi au CS50. 103 00:04:41,240 --> 00:04:43,080 Rendez-vous à nouveau à cette adresse ici. 104 00:04:43,080 --> 00:04:46,500 Quant à ce que le reste est à l'horizon, la semaine prochaine, pas de cours le lundi. 105 00:04:46,500 --> 00:04:50,020 Mais nous suivrons que par questionnaire un mercredi. 106 00:04:50,020 --> 00:04:54,390 Aller à la page d'accueil CS50 pour plus de détails sur les personnes, les lieux et les temps 107 00:04:54,390 --> 00:04:57,640 pour tous les différents surveillance d'examens logistique, etc., 108 00:04:57,640 --> 00:05:00,190 ainsi que sur l'examen sessions qui sont à venir. 109 00:05:00,190 --> 00:05:06,479 Et puis, enfin, le lundi, le jour avant la semaine de vacances de Thanksgiving, 110 00:05:06,479 --> 00:05:08,020 réaliser ce sera notre dernière conférence. 111 00:05:08,020 --> 00:05:11,490 Nous allons servir le gâteau et un grand beaucoup d'enthousiasme, nous l'espérons. 112 00:05:11,490 --> 00:05:13,976 >> Maintenant, quelques autres mises à jour. 113 00:05:13,976 --> 00:05:16,350 Gardez à l'esprit que le statut rapport, qui est vraiment juste 114 00:05:16,350 --> 00:05:20,430 censé être une interaction occasionnel avec votre TF à dire fièrement juste 115 00:05:20,430 --> 00:05:23,106 jusqu'à quel point avec votre projet final que vous êtes, 116 00:05:23,106 --> 00:05:24,980 ou au moins comme une santé mentale vérifier que vous devriez 117 00:05:24,980 --> 00:05:27,250 approcher que signaler peu de temps après. 118 00:05:27,250 --> 00:05:28,660 Le Hackathon suit alors que. 119 00:05:28,660 --> 00:05:30,800 Réaliser le Hackathon est pas une occasion 120 00:05:30,800 --> 00:05:33,690 pour démarrer votre projet final, mais est censé être une occasion 121 00:05:33,690 --> 00:05:37,040 à se trouver au milieu de ou vers la fin de votre projet final, 122 00:05:37,040 --> 00:05:41,030 avec la mise en œuvre en raison de quelques jours plus tard, suivie par la juste CS50. 123 00:05:41,030 --> 00:05:43,330 >> Maintenant, la production de CS50 équipe, il ya quelques années, 124 00:05:43,330 --> 00:05:46,127 mettre sur pied un teaser pour la foire de CS50 que nous 125 00:05:46,127 --> 00:05:48,710 avons pensé vous montrer aujourd'hui, parce qu'ils ont été à pied d'œuvre 126 00:05:48,710 --> 00:05:51,930 sur un prequel pour que, une nouvelle vidéo que nous allons conclure aujourd'hui avec. 127 00:05:51,930 --> 00:05:57,694 Mais voici ce qui vous attend pour CS50 la foire de cette année. 128 00:05:57,694 --> 00:05:58,360 [VIDEO LECTURE] 129 00:05:58,360 --> 00:06:00,680 - [CELL sonnerie de téléphone] 130 00:06:00,680 --> 00:06:07,624 131 00:06:07,624 --> 00:06:11,117 [MUSIC "Mission Impossible"] 132 00:06:11,117 --> 00:08:47,065 133 00:08:47,065 --> 00:08:52,820 [FIN LECTURE VIDÉO] 134 00:08:52,820 --> 00:08:56,840 DAVID J. Malan: Alors qui est exactement comment nous fermons les soumissions de projets finaux. 135 00:08:56,840 --> 00:08:59,220 Un couple de maintenant si teasers-- vous souhaitez vous joindre à Nick ici 136 00:08:59,220 --> 00:09:02,740 pour le déjeuner, comme d'habitude, ce Vendredi, la tête à cette adresse ici. 137 00:09:02,740 --> 00:09:05,530 En outre, si vous souhaitez à se joindre à Nick ou cette Nick 138 00:09:05,530 --> 00:09:08,770 ou ce Allison ou toute membres de l'équipe de CS50, 139 00:09:08,770 --> 00:09:11,110 ne réaliser que, peu de temps après la fin de terme, 140 00:09:11,110 --> 00:09:13,780 CS50 sera déjà recrute pour l'équipe de l'année prochaine, 141 00:09:13,780 --> 00:09:18,130 pour les CA, FO, concepteurs, producteurs, chercheurs et d'autres positions 142 00:09:18,130 --> 00:09:21,790 qu'ici fonctionner CS50 fois dans devant et derrière les coulisses. 143 00:09:21,790 --> 00:09:25,482 Donc, si cela pourrait être d'intérêt pour vous, la tête à cette adresse ici. 144 00:09:25,482 --> 00:09:28,190 Et les étudiants plus confortables, moins à l'aise, et quelque part dans 145 00:09:28,190 --> 00:09:31,710 sont semblables entre les bienvenus et encouragés à postuler. 146 00:09:31,710 --> 00:09:34,920 >> Il était donc un timing parfait qui, sans plaisanterie, ce matin, quand je me suis réveillé, 147 00:09:34,920 --> 00:09:37,220 Je devais voir ici spam dans ma boîte de réception. 148 00:09:37,220 --> 00:09:39,420 En fait, il a glissé à travers le filtre anti-spam de Gmail 149 00:09:39,420 --> 00:09:41,659 en quelque sorte et a fini dans ma boîte de réception réelle. 150 00:09:41,659 --> 00:09:43,700 Et il dit: «Cher boîte aux lettres utilisateur, vous êtes actuellement 151 00:09:43,700 --> 00:09:45,240 mise à niveau de 4 gigaoctets d'espace. 152 00:09:45,240 --> 00:09:50,750 Se il vous plaît vous connecter à votre compte afin de valider E-space ". 153 00:09:50,750 --> 00:09:54,100 >> Et puis il ya ce joli bleu lien alléchant il de cliquer sur 154 00:09:54,100 --> 00:09:59,480 pour les professeurs et le personnel, qui ensuite m'a amené à une page merveilleusement légitime, qui 155 00:09:59,480 --> 00:10:02,300 m'a demandé de leur donner mon nom et adresse e-mail et, bien sûr, 156 00:10:02,300 --> 00:10:05,090 mot de passe pour valider qui je suis et ainsi de suite. 157 00:10:05,090 --> 00:10:09,330 Mais bien sûr, comme toujours le cas, vous arrivez à cette page d'atterrissage, 158 00:10:09,330 --> 00:10:11,370 et bien sûr, il ya au moins une faute de frappe, 159 00:10:11,370 --> 00:10:14,840 qui semble être le clou le cercueil de l'un de ces escroqueries. 160 00:10:14,840 --> 00:10:17,890 Et nous posterons, peut-être, un autre des liens vers ces types de captures d'écran 161 00:10:17,890 --> 00:10:18,473 A l'avenir. 162 00:10:18,473 --> 00:10:22,535 Mais espérons-le, la plupart des gens dans cette chambre n'a pas clicked-- 163 00:10:22,535 --> 00:10:24,410 ou même si vous avez cliqué Ce type de liaison, 164 00:10:24,410 --> 00:10:28,040 vous n'êtes pas allé jusqu'à remplir ces formulaires et ainsi de suite. 165 00:10:28,040 --> 00:10:30,210 En fait, il est OK si vous avez. 166 00:10:30,210 --> 00:10:33,410 Nous allons essayer de résoudre ce problème aujourd'hui, parce que, En effet, la conversation d'aujourd'hui est 167 00:10:33,410 --> 00:10:34,450 sur la sécurité. 168 00:10:34,450 --> 00:10:36,500 >> Et en effet, l'un des objectifs ne sont pas CS50 169 00:10:36,500 --> 00:10:38,980 tellement de choses à vous enseigner CE ou PHP ou JavaScript ou SQL 170 00:10:38,980 --> 00:10:41,610 ou l'un de ces sous-jacent détails de mise en œuvre. 171 00:10:41,610 --> 00:10:45,612 Mais il est pour vous permettre en tant qu'êtres humains juste prendre de meilleures décisions que ce 172 00:10:45,612 --> 00:10:48,070 se rapporte à la technologie vers le bas le route de sorte que, si vous êtes 173 00:10:48,070 --> 00:10:51,370 un ingénieur ou un humaniste ou scientifique ou tout autre rôle, 174 00:10:51,370 --> 00:10:54,970 vous prendre des décisions éclairées sur votre propre usage de l'informatique, 175 00:10:54,970 --> 00:10:56,980 ou si vous êtes dans un la position de prise de décision, 176 00:10:56,980 --> 00:10:59,250 dans la vie politique, en particulier, vous faites bien, 177 00:10:59,250 --> 00:11:02,770 beaucoup de meilleures décisions que un beaucoup d'êtres humains aujourd'hui ont été. 178 00:11:02,770 --> 00:11:04,830 Et nous le faisons en moyen de quelques exemples. 179 00:11:04,830 --> 00:11:09,030 >> Tout d'abord, je suis plutôt surpris récemment de découvrir la suite. 180 00:11:09,030 --> 00:11:11,120 Ainsi, les mots de passe, bien sûr, sont ce que la plupart d'entre nous 181 00:11:11,120 --> 00:11:18,030 utiliser pour protéger notre email data--, chat, et toutes sortes de ressources comme ça. 182 00:11:18,030 --> 00:11:23,020 Et par un awkward-- pas montrer de mains, mais regards embarrassés de honte, 183 00:11:23,020 --> 00:11:26,600 combien d'entre vous utilisent le même mot de passe dans beaucoup de sites différents? 184 00:11:26,600 --> 00:11:28,020 >> Oh, OK, alors nous ferons les mains. 185 00:11:28,020 --> 00:11:30,950 OK, donc beaucoup de vous faire. 186 00:11:30,950 --> 00:11:33,770 Quiconque fait cela, juste pourquoi? 187 00:11:33,770 --> 00:11:35,078 Et quoi? 188 00:11:35,078 --> 00:11:36,537 Ouais? 189 00:11:36,537 --> 00:11:39,870 PUBLIC: Il est facile à retenir, parce que vous ne devez pas vous rappeler [inaudible]. 190 00:11:39,870 --> 00:11:41,703 DAVID J. Malan: Ouais, il est facile à retenir. 191 00:11:41,703 --> 00:11:44,560 Il est un tout à fait raisonnable, comportement rationnel, 192 00:11:44,560 --> 00:11:46,920 même si le risque vous êtes vous-même la mise 193 00:11:46,920 --> 00:11:50,540 à dans ces cas est juste une ou plusieurs de ces sites Web 194 00:11:50,540 --> 00:11:54,510 est vulnérable au piratage ou à l'insécurité ou votre mot de passe est juste 195 00:11:54,510 --> 00:11:57,130 horriblement facile à deviner, tout le monde peut comprendre. 196 00:11:57,130 --> 00:11:59,850 Non seulement est un compte compromise, mais en principe, toute 197 00:11:59,850 --> 00:12:01,280 comptes que vous avez sur l'internet. 198 00:12:01,280 --> 00:12:04,550 Donc, je sais que je pourrais dire aujourd'hui, ne utiliser le même mot de passe partout, 199 00:12:04,550 --> 00:12:06,450 mais qui est beaucoup plus facile à dire qu'à faire. 200 00:12:06,450 --> 00:12:10,850 Mais il existe des techniques pour atténuer cette préoccupation. 201 00:12:10,850 --> 00:12:14,030 >> Maintenant, je me trouve, par exemple, à utiliser un programme appelé 1Password. 202 00:12:14,030 --> 00:12:16,010 Un autre populaire est appelée LastPass. 203 00:12:16,010 --> 00:12:19,030 Et un tas de CS50 utilisation du personnel un ou plusieurs de ces types d'outils. 204 00:12:19,030 --> 00:12:20,940 Et longue histoire courte, une livraison pour aujourd'hui 205 00:12:20,940 --> 00:12:25,080 devriez être, oui, vous pourriez avoir le même mot de passe partout, 206 00:12:25,080 --> 00:12:27,260 mais il est très facile de faire plus que. 207 00:12:27,260 --> 00:12:31,260 Par exemple, ces jours-ci, je sais peut-être l'un de mes dizaines ou des centaines 208 00:12:31,260 --> 00:12:31,910 des mots de passe. 209 00:12:31,910 --> 00:12:33,990 Tous mes autres mots de passe sont pseudo-aléatoire 210 00:12:33,990 --> 00:12:36,046 généré par l'un de ces programmes ici. 211 00:12:36,046 --> 00:12:38,420 Et en un mot, et même si la plupart de ces programmes 212 00:12:38,420 --> 00:12:41,487 ont tendance à venir avec un peu de coût, vous souhaitez installer un programme comme celui-ci, 213 00:12:41,487 --> 00:12:43,820 vous auriez alors stocker tous vos noms d'utilisateur et mots de passe 214 00:12:43,820 --> 00:12:46,960 à l'intérieur de ce programme sur votre propre Mac ou PC ou autres joyeusetés, 215 00:12:46,960 --> 00:12:49,290 et ensuite il serait cryptées sur votre ordinateur 216 00:12:49,290 --> 00:12:51,599 avec ce qui est, espérons-un particulièrement long mot de passe. 217 00:12:51,599 --> 00:12:54,140 Je dois donc tout un tas de mots de passe pour les sites Web individuels, 218 00:12:54,140 --> 00:12:56,390 et puis je dois vraiment mot de passe long que je 219 00:12:56,390 --> 00:12:59,059 utiliser pour déverrouiller tous les autres mots de passe. 220 00:12:59,059 --> 00:13:00,850 Et ce qui est bien à propos logiciel de ce genre est 221 00:13:00,850 --> 00:13:04,016 que, lorsque vous visitez un site Web qui est demandant votre nom d'utilisateur et mot de passe, 222 00:13:04,016 --> 00:13:06,304 ces jours-ci, je ne tape pas dans mon nom d'utilisateur et mot de passe, 223 00:13:06,304 --> 00:13:08,970 parce que, encore une fois, je ne sais même pas ce que la plupart de mes mots de passe sont. 224 00:13:08,970 --> 00:13:12,180 Je place frappé un clavier raccourci, la suite de quoi 225 00:13:12,180 --> 00:13:15,990 est de déclencher ce logiciel pour me demande mon mot de passe maître. 226 00:13:15,990 --> 00:13:18,780 Je puis tapez qu'un grand mot de passe dans, puis le navigateur 227 00:13:18,780 --> 00:13:21,090 remplit automatiquement en ce que mon mot de passe. 228 00:13:21,090 --> 00:13:24,960 Donc, vraiment, si vous prenez rien d'autre loin à partir d'aujourd'hui en termes de mots de passe, 229 00:13:24,960 --> 00:13:28,440 ce sont des logiciels qui valent la peine téléchargement ou d'investir dans la 230 00:13:28,440 --> 00:13:30,750 que vous pouvez au moins pause cette habitude particulière. 231 00:13:30,750 --> 00:13:33,374 Et si vous êtes du genre qui est l'aide post-it ou le like-- 232 00:13:33,374 --> 00:13:37,310 et les chances sont au moins l'un de vous est-- cette habitude, aussi, il suffit de dire, 233 00:13:37,310 --> 00:13:38,340 doit être cassé. 234 00:13:38,340 --> 00:13:42,360 >> Maintenant, je me trouvais à découvrir, à la suite de l'utilisation du logiciel, ce qui suit. 235 00:13:42,360 --> 00:13:45,690 Je commandais un arrangement comestibles, ce panier de fruits, récemment. 236 00:13:45,690 --> 00:13:49,380 Et je me suis cogné clavier spécial raccourci pour vous connecter au site. 237 00:13:49,380 --> 00:13:53,325 Et le logiciel déclenche un pop-up qui dit, êtes-vous sûr 238 00:13:53,325 --> 00:13:55,950 vous voulez que je automatiquement soumettre ce nom d'utilisateur et mot de passe? 239 00:13:55,950 --> 00:13:57,690 Parce que la connexion est précaire. 240 00:13:57,690 --> 00:14:01,450 >> La connexion est pas utilisant le protocole HTTPS, pour sûr, 241 00:14:01,450 --> 00:14:04,900 utilisant ce protocole connu sous le nom SSL, Secure Sockets Layer. 242 00:14:04,900 --> 00:14:07,640 Et en effet, si vous regardez en haut à gauche de ce site, 243 00:14:07,640 --> 00:14:12,880 il est juste www.ediblearrangements.com, pas HTTPS, ce qui est pas si bon. 244 00:14:12,880 --> 00:14:15,480 >> Maintenant, je suis peut-être ce curious-- est juste un bug dans le logiciel. 245 00:14:15,480 --> 00:14:19,240 Certes, certains sites comme ce que beaucoup d'entre nous connaissent des 246 00:14:19,240 --> 00:14:24,046 est au moins en utilisant le cryptage ou des URL HTTPS pour que vous vous connectez. 247 00:14:24,046 --> 00:14:25,670 Alors je me suis un peu curieux ce matin. 248 00:14:25,670 --> 00:14:29,046 Et je suis sorti de mes compétences CS50, Je me suis ouverte inspecteur Chrome. 249 00:14:29,046 --> 00:14:30,295 Il est même pas beaucoup de compétence. 250 00:14:30,295 --> 00:14:32,890 Il est juste frappé le clavier droit raccourci pour ouvrir cette place. 251 00:14:32,890 --> 00:14:34,830 Et voici une grande fenêtre de l'inspecteur de Chrome. 252 00:14:34,830 --> 00:14:38,960 >> Mais ce qui était en fait un peu tragique et ridicule 253 00:14:38,960 --> 00:14:40,830 étaient ces deux lignes ici. 254 00:14:40,830 --> 00:14:44,570 Au sommet, notez l'URL que mon nom d'utilisateur et mot de passe 255 00:14:44,570 --> 00:14:45,530 ont été soumis. 256 00:14:45,530 --> 00:14:46,380 Permettez-moi zoom avant. 257 00:14:46,380 --> 00:14:47,352 Il était présent ici. 258 00:14:47,352 --> 00:14:49,060 Et tout cela est sorte de inintéressant, 259 00:14:49,060 --> 00:14:54,962 à l'exception de la chose tout le chemin à la gauche, qui commence par http: //. 260 00:14:54,962 --> 00:14:57,240 Et alors, OK, peut-être ils sont juste envoi 261 00:14:57,240 --> 00:14:59,084 mon nom d'utilisateur, qui est pas comme un gros problème. 262 00:14:59,084 --> 00:15:00,500 Peut-être que mon mot de passe est envoyé plus tard. 263 00:15:00,500 --> 00:15:02,300 Ce serait une sorte de intéressant décision de conception. 264 00:15:02,300 --> 00:15:03,100 >> Mais Non. 265 00:15:03,100 --> 00:15:06,130 Si vous regardez ensuite à la demande charge utile, le nom d'utilisateur et mot de passe 266 00:15:06,130 --> 00:15:08,470 Je sent-- et je moqué ces pour la slide-- 267 00:15:08,470 --> 00:15:10,000 ont effectivement été envoyés en clair. 268 00:15:10,000 --> 00:15:13,792 Alors vous allez à ce site particulier et commander un arrangement comestibles comme ça, 269 00:15:13,792 --> 00:15:16,750 et en effet, apparemment, pour tout ce fois que je l'ai été ordonné d'eux, 270 00:15:16,750 --> 00:15:19,800 votre nom d'utilisateur et mot de passe se passe de l'autre côté en clair. 271 00:15:19,800 --> 00:15:22,120 Donc, honnêtement, cela est tout à fait inacceptable. 272 00:15:22,120 --> 00:15:26,240 Et il est si trivial d'éviter les choses comme ce que le concepteur d'un site Web 273 00:15:26,240 --> 00:15:27,950 et que le programmeur d'un site Web. 274 00:15:27,950 --> 00:15:31,020 >> Mais l'emporter ici pour nous que les utilisateurs de sites Web 275 00:15:31,020 --> 00:15:35,700 est à peine à comprendre que tous les Il suffit pour une conception stupide 276 00:15:35,700 --> 00:15:40,010 décision, injustifiable décision de conception, de sorte que maintenant, si vous le savez mon mot de passe est 277 00:15:40,010 --> 00:15:41,820 "Cramoisi" sur cette site web, vous avez probablement 278 00:15:41,820 --> 00:15:44,654 juste obtenu dans tout un tas de autres sites que je dois maintenant. 279 00:15:44,654 --> 00:15:46,570 Et il n'y a pas beaucoup de une défense contre cette 280 00:15:46,570 --> 00:15:48,301 autre que ce que Chang a fait ce matin. 281 00:15:48,301 --> 00:15:51,550 Il est allé à Edible Arrangements, qui est situé dans la rue à Cambridge, 282 00:15:51,550 --> 00:15:53,430 et physiquement acheté cela pour nous. 283 00:15:53,430 --> 00:15:57,490 Ce fut beaucoup plus sûr que l'utilisation du site dans ce cas. 284 00:15:57,490 --> 00:16:02,320 >> Mais le détail de garder un œil sur les est en fait ce qui est dans le navigateur-haut 285 00:16:02,320 --> 00:16:02,940 Là. 286 00:16:02,940 --> 00:16:04,690 Mais même cela peut être un peu trompeuse. 287 00:16:04,690 --> 00:16:07,002 Donc, une autre intéressant exemple et le mode de défense 288 00:16:07,002 --> 00:16:09,960 contre this-- et en fait, nous allons ne first-- que la façon de défendre 289 00:16:09,960 --> 00:16:12,540 contre cette technique est un que les gens de la sécurité serait 290 00:16:12,540 --> 00:16:14,810 appeler authentification à deux facteurs. 291 00:16:14,810 --> 00:16:20,130 >> Est-ce que quelqu'un sait ce que la solution à des problèmes tels que cela signifie? 292 00:16:20,130 --> 00:16:23,110 Qu'est-ce que l'authentification à deux facteurs? 293 00:16:23,110 --> 00:16:27,320 Ou autrement dit, comment beaucoup d'entre vous l'utiliser? 294 00:16:27,320 --> 00:16:28,650 OK, donc un couple de personnes timides. 295 00:16:28,650 --> 00:16:29,060 Mais oui. 296 00:16:29,060 --> 00:16:29,976 Je l'ai vu votre main monter. 297 00:16:29,976 --> 00:16:31,510 Qu'est-ce que l'authentification à deux facteurs? 298 00:16:31,510 --> 00:16:34,010 >> PUBLIC: Fondamentalement, en plus à taper votre mot de passe, 299 00:16:34,010 --> 00:16:37,390 vous avez aussi un secondaire [inaudible] envoyé par SMS sur votre téléphone 300 00:16:37,390 --> 00:16:39,460 à la [inaudible]. 301 00:16:39,460 --> 00:16:40,460 DAVID J. Malan: Exactement. 302 00:16:40,460 --> 00:16:44,150 En plus d'une forme primaire d'authentification, comme un mot de passe, 303 00:16:44,150 --> 00:16:47,190 vous êtes invité à fournir un secondaire facteur, qui est typiquement 304 00:16:47,190 --> 00:16:49,740 quelque chose que vous avez physiquement sur vous, même si elle 305 00:16:49,740 --> 00:16:51,610 peut être tout autre chose. 306 00:16:51,610 --> 00:16:54,630 Et cette chose est typiquement un téléphone portable ces jours où vous obtenez 307 00:16:54,630 --> 00:16:59,200 envoyé un message texte temporaire qui dit "Votre code d'accès temporaire est 12345." 308 00:16:59,200 --> 00:17:01,280 >> Donc, en plus de mon mot de passe "cramoisi" Je également 309 00:17:01,280 --> 00:17:03,916 avoir à saisir toute le site m'a envoyé un texto. 310 00:17:03,916 --> 00:17:06,290 Ou si vous avez ce avec un banque ou un compte de placement, 311 00:17:06,290 --> 00:17:08,123 vous avez parfois ces petits dongles que 312 00:17:08,123 --> 00:17:11,760 en fait avoir un pseudo-aléatoire générateur de nombre intégré en eux, 313 00:17:11,760 --> 00:17:15,849 mais à la fois l'appareil et la banque savoir ce que votre semence initiale est 314 00:17:15,849 --> 00:17:19,710 afin qu'ils sachent, alors même que le peu de code sur votre petit porte-clés 315 00:17:19,710 --> 00:17:22,380 marches avant chaque minute ou deux, l'évolution des valeurs, 316 00:17:22,380 --> 00:17:25,260 il en va de ce changement de valeur sur le serveur de la banque 317 00:17:25,260 --> 00:17:28,620 de sorte qu'ils peuvent de même authentifier vous, non seulement avec votre mot de passe, 318 00:17:28,620 --> 00:17:30,024 mais avec ce code temporaire. 319 00:17:30,024 --> 00:17:31,690 Maintenant, vous pouvez réellement faire dans Google. 320 00:17:31,690 --> 00:17:33,606 Et franchement, cela est une bonne habitude à prendre, 321 00:17:33,606 --> 00:17:36,180 surtout si vous utilisez Gmail tout le temps sur un navigateur. 322 00:17:36,180 --> 00:17:39,880 Si vous allez à cette URL ici, qui est en les diapositives en ligne aujourd'hui, et puis 323 00:17:39,880 --> 00:17:43,579 cliquez sur 2 étapes de vérification, même chose réelle là-bas. 324 00:17:43,579 --> 00:17:45,870 Vous serez invité à donner leur votre numéro de téléphone cellulaire. 325 00:17:45,870 --> 00:17:49,660 Et puis, chaque fois que vous vous connectez à Gmail, vous serez non seulement demandé 326 00:17:49,660 --> 00:17:53,480 votre mot de passe, mais aussi pour un peu de code qui est envoyé à votre téléphone 327 00:17:53,480 --> 00:17:54,190 temporairement. 328 00:17:54,190 --> 00:17:57,894 Et tant que vous activer les cookies, et tant que vous ne le faites pas explicitement 329 00:17:57,894 --> 00:18:00,060 vous déconnecter, vous aurez seulement à faire que de temps en temps, 330 00:18:00,060 --> 00:18:01,870 comme quand vous vous asseyez à un nouvel ordinateur. 331 00:18:01,870 --> 00:18:05,320 >> Et la hausse, ici aussi, est, si vous s'asseoir à un certain style de cybercafé 332 00:18:05,320 --> 00:18:07,380 ordinateur ou une l'ordinateur d'un ami, même 333 00:18:07,380 --> 00:18:09,710 si cet ami malicieusement ou sans le savoir 334 00:18:09,710 --> 00:18:13,580 a une certaine enregistreur de clavier installé sur son ordinateur, 335 00:18:13,580 --> 00:18:15,640 de telle sorte que tout ce que vous type est en cours d'enregistrement, 336 00:18:15,640 --> 00:18:19,170 au moins que le deuxième facteur, qui code temporaire, est éphémère. 337 00:18:19,170 --> 00:18:21,630 Donc, il ou elle ou celui qui est compromis l'ordinateur 338 00:18:21,630 --> 00:18:24,890 ne peut pas se connecter à vous par la suite, même si tout le reste 339 00:18:24,890 --> 00:18:27,890 était vulnérable ou même tout en clair. 340 00:18:27,890 --> 00:18:29,760 Facebook a cela, aussi, avec cette URL ici, 341 00:18:29,760 --> 00:18:32,070 où vous pouvez cliquer sur Connexion approbations. 342 00:18:32,070 --> 00:18:35,500 Donc, ici, aussi, si vous ne le faites pas veulent amis pour pousser les gens, 343 00:18:35,500 --> 00:18:40,140 vous ne voulez pas être piquer sur Facebook ou de poster des mises à jour de statut pour vous, 344 00:18:40,140 --> 00:18:42,479 authentification à deux facteurs ici est probablement une bonne chose. 345 00:18:42,479 --> 00:18:44,520 Et puis il ya cette tout autre technique, 346 00:18:44,520 --> 00:18:46,853 juste audit, qui est encore une bonne chose pour nous, les humains, 347 00:18:46,853 --> 00:18:49,950 si deux facteurs se révèle gênant, qui, Certes, il peut, ou il est tout simplement pas 348 00:18:49,950 --> 00:18:53,930 certains sont disponibles sur le site web, minimalement en gardant un œil sur si et quand 349 00:18:53,930 --> 00:18:57,650 vous vous connectez à des sites, si elles vous permettre, est une bonne technique, trop. 350 00:18:57,650 --> 00:19:01,300 Donc, Facebook vous donne également cette notifications de connexion disposent, par lequel 351 00:19:01,300 --> 00:19:06,240 Facebook réalise tout moment, hm, David a connectés à partir de certains ordinateur ou téléphone 352 00:19:06,240 --> 00:19:09,710 que nous avons jamais vu avant de une adresse IP qui ressemble inconnu, 353 00:19:09,710 --> 00:19:12,320 ils vont au moins vous envoyer un e-mail à ce que l'adresse e-mail 354 00:19:12,320 --> 00:19:14,750 vous avez sur le dossier, en disant: ce regard soupçonneux? 355 00:19:14,750 --> 00:19:17,590 Si oui, changer votre mot de passe immédiatement. 356 00:19:17,590 --> 00:19:19,610 Et donc, là aussi, juste comportement d'audit 357 00:19:19,610 --> 00:19:21,940 même après que vous avez été compromis, peut au moins 358 00:19:21,940 --> 00:19:25,980 rétrécir la fenêtre pendant qui vous êtes vulnérable. 359 00:19:25,980 --> 00:19:29,910 >> Tout droit, des questions sur ce genre de choses jusqu'à présent? 360 00:19:29,910 --> 00:19:35,510 Aujourd'hui est le jour pour obtenir tous votre paranoïa confirmée ou infirmée. 361 00:19:35,510 --> 00:19:36,820 Cela surtout confirmé, malheureusement. 362 00:19:36,820 --> 00:19:37,210 Ouais? 363 00:19:37,210 --> 00:19:39,223 >> PUBLIC: [Inaudible] téléphone, si votre téléphone pauses, 364 00:19:39,223 --> 00:19:41,010 et puis il est toujours difficile à verify-- 365 00:19:41,010 --> 00:19:41,295 >> DAVID J. Malan: Vrai. 366 00:19:41,295 --> 00:19:43,330 >> PUBLIC: Ou si vous êtes dans un autre pays, et ils ne vous laissent pas 367 00:19:43,330 --> 00:19:44,505 Connectez-vous parce que [inaudible]. 368 00:19:44,505 --> 00:19:45,630 DAVID J. Malan: Absolument. 369 00:19:45,630 --> 00:19:48,780 Et si ce sont les plus frais que vous engagez. 370 00:19:48,780 --> 00:19:51,040 Il ya toujours ce thème d'un compromis, après tout. 371 00:19:51,040 --> 00:19:53,748 Et puis, si vous perdez votre téléphone, si ça casse, si vous êtes à l'étranger, 372 00:19:53,748 --> 00:19:56,382 ou vous ne disposez pas d'un juste signal comme un signal 3G ou LTE, 373 00:19:56,382 --> 00:19:58,340 vous ne pourriez pas réellement être capable d'authentifier. 374 00:19:58,340 --> 00:20:00,520 >> Encore une fois, ces deux sont compromis. 375 00:20:00,520 --> 00:20:03,670 Et parfois, il peut créer un beaucoup de travail pour vous en tant que résultat. 376 00:20:03,670 --> 00:20:08,130 Mais cela dépend vraiment, alors, sur ce que le prix attendu de vous 377 00:20:08,130 --> 00:20:10,980 est quelque chose de l'être tout à fait compromise. 378 00:20:10,980 --> 00:20:15,300 >> Donc, SSL, puis, est-ce que la technique nous prenons tous généralement pour acquis 379 00:20:15,300 --> 00:20:18,970 ou assumer est là, même si qui est clairement pas le cas. 380 00:20:18,970 --> 00:20:23,339 Et vous pouvez toujours tromper gens, cependant, même avec cela. 381 00:20:23,339 --> 00:20:24,630 Alors, voici un exemple d'une banque. 382 00:20:24,630 --> 00:20:25,860 >> Ceci est la Bank of America. 383 00:20:25,860 --> 00:20:28,730 Il ya tout un tas de ces à Harvard Square et au-delà. 384 00:20:28,730 --> 00:20:32,530 Et remarquez que, au sommet de l'écran, il est un, en effet, le protocole HTTPS. 385 00:20:32,530 --> 00:20:35,370 Et il est encore vert et mis en évidence pour nous 386 00:20:35,370 --> 00:20:39,550 pour indiquer que tel est bien un site Web sécurisé légitimement, 387 00:20:39,550 --> 00:20:41,420 ou si nous avons été formés à croire. 388 00:20:41,420 --> 00:20:46,416 >> Maintenant, en plus de cela, cependant, Notez que, si on fait un zoom, 389 00:20:46,416 --> 00:20:48,790 il ya cette chose ici, où vous êtes invité à vous connecter. 390 00:20:48,790 --> 00:20:54,920 Qu'est-ce que cela signifie cadenas droit là, à côté de mon nom d'utilisateur rapide? 391 00:20:54,920 --> 00:20:57,890 Ceci est assez commun sur les sites Web, aussi. 392 00:20:57,890 --> 00:21:01,120 Qu'est-ce que cela signifie cadenas? 393 00:21:01,120 --> 00:21:02,453 Vous semblez comme vous le savez. 394 00:21:02,453 --> 00:21:03,420 >> PUBLIC: Il ne veut rien dire. 395 00:21:03,420 --> 00:21:04,230 >> DAVID J. Malan: Il ne veut rien dire. 396 00:21:04,230 --> 00:21:07,790 Cela signifie que Bank of America sait à écrire en HTML avec des balises d'image, non? 397 00:21:07,790 --> 00:21:12,080 Cela signifie vraiment rien, parce que même on, en utilisant le premier jour de notre apparence 398 00:21:12,080 --> 00:21:15,760 à HTML, peut coder une page avec un fond rouge et une image, 399 00:21:15,760 --> 00:21:18,910 comme un GIF ou autres joyeusetés, que arrive à ressembler à un cadenas. 400 00:21:18,910 --> 00:21:20,890 Et pourtant, ce est super commun dans les sites Web, 401 00:21:20,890 --> 00:21:24,000 parce que nous avons été formés pour assumer que, oh, cadenas signifie sécurisé, 402 00:21:24,000 --> 00:21:25,760 quand il vraiment signifie simplement que vous connaissez le HTML. 403 00:21:25,760 --> 00:21:28,840 >> Par exemple, dans la journée, je pouvais ont vient de mettre cela sur mon site, 404 00:21:28,840 --> 00:21:31,660 affirmant qu'il est sécurisé, et demander, effectivement, 405 00:21:31,660 --> 00:21:33,590 pour les noms d'utilisateur et mots de passe des gens. 406 00:21:33,590 --> 00:21:36,310 Donc, la recherche dans l'URL est au moins une meilleure idée, 407 00:21:36,310 --> 00:21:39,580 car qui est intégré dans Chrome ou quel que soit le navigateur que vous utilisez. 408 00:21:39,580 --> 00:21:41,470 Mais même alors, parfois les choses peuvent mal se passer. 409 00:21:41,470 --> 00:21:45,940 Et en fait, vous ne pourriez pas toujours voir HTTPS, et encore moins en vert. 410 00:21:45,940 --> 00:21:48,126 >> Avez-vous déjà l'une des vu un écran comme celui-ci? 411 00:21:48,126 --> 00:21:50,000 Vous pourriez avoir, en fait, plus tôt en Octobre, 412 00:21:50,000 --> 00:21:54,740 quand je oublié de payer pour notre certificat SSL, comme on l'appelle, 413 00:21:54,740 --> 00:21:58,400 et nous étions à la recherche comme ce pour une heure ou deux. 414 00:21:58,400 --> 00:22:01,830 Donc, vous avez probablement vu les choses comme ça, avec un barré, 415 00:22:01,830 --> 00:22:05,240 comme une ligne rouge, à travers le protocole dans l'URL 416 00:22:05,240 --> 00:22:08,010 ou une sorte d'écran qui est au moins vous exhortant 417 00:22:08,010 --> 00:22:09,760 pour essayer d'aller plus loin. 418 00:22:09,760 --> 00:22:12,540 Et Google ici invite tu retournes à la sécurité. 419 00:22:12,540 --> 00:22:17,120 >> Maintenant, dans ce cas, cette voulait juste dire que le certificat SSL que nous utilisons, 420 00:22:17,120 --> 00:22:22,220 les grands nombres, mathématiquement utiles qui sont associées avec le serveur CS50, 421 00:22:22,220 --> 00:22:23,949 ne sont plus valables. 422 00:22:23,949 --> 00:22:26,490 Et en fait, nous pouvons simuler ce, que vous pouvez sur votre ordinateur portable. 423 00:22:26,490 --> 00:22:30,270 Si je vais dans Chrome ici, et passons à facebook.com, 424 00:22:30,270 --> 00:22:32,230 et il semble que ce soit sécurisé. 425 00:22:32,230 --> 00:22:36,910 Mais laissez-moi aller de l'avant maintenant et cliquez sur le cadenas ici. 426 00:22:36,910 --> 00:22:40,030 >> Et laissez-moi aller à la connexion, Informations sur le certificat. 427 00:22:40,030 --> 00:22:42,020 Et en effet, ce que vous allez voir ici est un groupe 428 00:22:42,020 --> 00:22:46,160 de détails de bas niveau sur qui facebook.com est vraiment. 429 00:22:46,160 --> 00:22:49,380 Il semble qu'ils ont versé de l'argent à une société appelée peut-être DigiCert haut 430 00:22:49,380 --> 00:22:54,420 Assurance qui a promis de dire au reste du monde 431 00:22:54,420 --> 00:22:57,250 que, si le navigateur ne voit jamais un certificate-- vous pouvez penser 432 00:22:57,250 --> 00:23:00,291 de littéralement comme un certificat ressemble à cette chose de fromage en haut 433 00:23:00,291 --> 00:23:04,360 left-- puis facebook.com est bien qui ils disent ils sont, parce que tout ce temps, quand 434 00:23:04,360 --> 00:23:07,160 vous visitez un site Web, comme cs50.harvard.edu ou facebook.com 435 00:23:07,160 --> 00:23:11,880 ou gmail.com qui utilisent HTTPS URL, dans les coulisses, 436 00:23:11,880 --> 00:23:15,190 il ya ce genre de transaction passe automatiquement 437 00:23:15,190 --> 00:23:18,060 pour vous, lequel facebook.com, dans ce cas, 438 00:23:18,060 --> 00:23:22,150 envoie à votre navigateur de son soi-disant certificat SSL, ou plutôt, 439 00:23:22,150 --> 00:23:23,380 sa clé publique, 440 00:23:23,380 --> 00:23:25,600 et puis votre navigateur utilise cette clé publique 441 00:23:25,600 --> 00:23:29,600 à envoyer ensuite crypté le trafic vers et à partir de lui. 442 00:23:29,600 --> 00:23:32,360 >> Mais il ya toute cette hiérarchie dans le monde des entreprises 443 00:23:32,360 --> 00:23:36,430 que vous payez de l'argent à qui sera puis témoigner, dans un sens numérique, 444 00:23:36,430 --> 00:23:41,330 que vous êtes bien facebook.com ou votre serveur est en effet cs50.harvard.edu. 445 00:23:41,330 --> 00:23:44,580 Et intégré dans les navigateurs, comme Chrome et IE et Firefox, 446 00:23:44,580 --> 00:23:48,260 est une liste de tous ceux soi-disant autorités de certification 447 00:23:48,260 --> 00:23:51,360 qui sont autorisés par Microsoft et Google et Mozilla 448 00:23:51,360 --> 00:23:55,410 pour confirmer ou nier que facebook.com est bien celui qu'il prétend être. 449 00:23:55,410 --> 00:23:57,430 Mais le hic est que ces choses ne sont plus valables. 450 00:23:57,430 --> 00:24:02,670 En fait, de Facebook ressemble il expire Octobre prochain, en 2015. 451 00:24:02,670 --> 00:24:06,490 >> Nous pouvons donc simuler ce si je aller dans mon Mac à mes Préférences Système, 452 00:24:06,490 --> 00:24:11,070 et je vais en date et l'heure, et Je vais dans Date et heure ici, 453 00:24:11,070 --> 00:24:17,190 et je déverrouiller ce ici-- heureusement, nous ne révélons pas un mot de passe cette time-- 454 00:24:17,190 --> 00:24:20,660 et maintenant je descends de décocher cette. 455 00:24:20,660 --> 00:24:25,660 Et nous allons actually-- oups, pas aussi intéressant que faire. 456 00:24:25,660 --> 00:24:30,140 Nous sommes littéralement à l'avenir maintenant, ce qui signifie est que 2020 est comme. 457 00:24:30,140 --> 00:24:36,360 Si je recharge maintenant la page-- faisons-le dans Ingognito mode-- 458 00:24:36,360 --> 00:24:40,910 si je recharge la page, là nous allons. 459 00:24:40,910 --> 00:24:45,820 >> Alors maintenant, mon ordinateur pense il est 2020, mais mon navigateur 460 00:24:45,820 --> 00:24:49,810 sait que ce certificat de Facebook expire, bien sûr, en 2015. 461 00:24:49,810 --> 00:24:51,360 Donc, il me donne ce message rouge. 462 00:24:51,360 --> 00:24:53,550 Maintenant, heureusement, les navigateurs comme Chrome avoir fait 463 00:24:53,550 --> 00:24:55,480 fait assez difficile à procéder de même. 464 00:24:55,480 --> 00:24:57,300 Ils veulent en effet me pour revenir à la sécurité. 465 00:24:57,300 --> 00:25:00,550 >> Si je clique ici sur Advance, il est allez me dire encore plus de détails. 466 00:25:00,550 --> 00:25:02,580 Et si je veux vraiment de procéder, ils vont laisser 467 00:25:02,580 --> 00:25:06,250 moi aller à facebook.com, qui est, nouveau, dangereux, à quel point 468 00:25:06,250 --> 00:25:08,310 Je vais voir la page d'accueil de Facebook, comme ça. 469 00:25:08,310 --> 00:25:10,080 Mais alors d'autres choses semble être la rupture. 470 00:25:10,080 --> 00:25:12,825 Qu'est-ce qui probablement casser à ce point? 471 00:25:12,825 --> 00:25:13,700 PUBLIC: JavaScript. 472 00:25:13,700 --> 00:25:15,540 DAVID J. Malan: Comme le JavaScripts et / ou CSS 473 00:25:15,540 --> 00:25:17,460 fichiers sont de même rencontrer cette erreur. 474 00:25:17,460 --> 00:25:19,830 Donc, ceci est juste une mauvaise situation générale. 475 00:25:19,830 --> 00:25:24,790 Mais le point ici est que au moins Facebook a en effet SSL activé 476 00:25:24,790 --> 00:25:30,040 pour leurs serveurs, comme de nombreux sites Web, faire, mais pas nécessairement tous. 477 00:25:30,040 --> 00:25:33,360 >> Mais cela ne l'emporter seul ici. 478 00:25:33,360 --> 00:25:36,040 Avère que même SSL il a été démontré 479 00:25:36,040 --> 00:25:37,810 en insécurité en quelque sorte. 480 00:25:37,810 --> 00:25:40,400 Donc, je suis en quelque sorte de insinuant que SSL, bon. 481 00:25:40,400 --> 00:25:44,250 Recherchez des URL HTTPS, et la vie est bon, parce que tout votre trafic HTTP 482 00:25:44,250 --> 00:25:46,180 et les en-têtes et le contenu sont cryptées. 483 00:25:46,180 --> 00:25:49,560 >> Personne ne peut l'intercepter dans la milieu, sauf pour un soi-disant homme 484 00:25:49,560 --> 00:25:50,454 au milieu. 485 00:25:50,454 --> 00:25:52,870 Ceci est une technique générale dans le monde de la sécurité connue 486 00:25:52,870 --> 00:25:54,420 comme une attaque man-in-the-middle. 487 00:25:54,420 --> 00:25:57,067 Supposons que vous êtes ce petit ordinateur portable ici sur la gauche, 488 00:25:57,067 --> 00:25:59,900 et supposons que vous essayez de visiter un serveur là-bas sur la droite, 489 00:25:59,900 --> 00:26:00,990 comme facebook.com. 490 00:26:00,990 --> 00:26:03,940 >> Mais supposons que, dans entre vous et Facebook, 491 00:26:03,940 --> 00:26:07,750 est tout un tas d'autres serveurs et équipement, comme les commutateurs et les routeurs, 492 00:26:07,750 --> 00:26:11,530 serveurs DNS, serveurs DHCP, dont aucune ne nous contrôlons. 493 00:26:11,530 --> 00:26:15,280 Il peut être contrôlé par Starbucks ou Harvard ou Comcast ou similaire. 494 00:26:15,280 --> 00:26:18,090 Eh bien, supposons que quelqu'un malicieusement, sur votre réseau, 495 00:26:18,090 --> 00:26:20,800 entre vous et Facebook, est en mesure de vous dire 496 00:26:20,800 --> 00:26:24,740 que, vous savez quoi, l'adresse IP de Facebook est pas ce que vous pensez qu'elle est. 497 00:26:24,740 --> 00:26:26,250 Il est cette adresse IP à la place. 498 00:26:26,250 --> 00:26:28,740 >> Et si votre navigateur est trompé en demandant 499 00:26:28,740 --> 00:26:30,750 la circulation d'un autre tout ordinateur. 500 00:26:30,750 --> 00:26:35,350 Eh bien, supposons que l'ordinateur regarde simplement à tous 501 00:26:35,350 --> 00:26:38,859 du trafic que vous vous demandez de Facebook et l'ensemble des pages Web 502 00:26:38,859 --> 00:26:40,400 que vous demandez de Facebook. 503 00:26:40,400 --> 00:26:45,700 Et chaque fois qu'il voit dans votre trafic une URL qui commence par https, 504 00:26:45,700 --> 00:26:49,250 dynamiquement, sur la voler, réécrit comme HTTP. 505 00:26:49,250 --> 00:26:53,490 Et chaque fois qu'il voit un emplacement tête, l'emplacement du côlon, 506 00:26:53,490 --> 00:26:55,930 comme nous utilisons pour rediriger l'utilisateur, celles-ci aussi, 507 00:26:55,930 --> 00:27:00,690 peut être modifié par cet homme dans le milieu de HTTPS à HTTP. 508 00:27:00,690 --> 00:27:04,170 >> Ainsi, même si vous vous pourrait Vous pensez que vous êtes le vrai Facebook, 509 00:27:04,170 --> 00:27:07,860 il est pas si difficile pour un adversaire avec un accès physique 510 00:27:07,860 --> 00:27:10,630 à votre réseau simplement retourner pages vous que 511 00:27:10,630 --> 00:27:12,650 ressembler à Gmail, qui ressembler à Facebook, 512 00:27:12,650 --> 00:27:14,880 et en effet l'URL est identique, parce qu'ils sont 513 00:27:14,880 --> 00:27:19,410 prétendre avoir le même nom d'hôte parce que d'une certaine exploitation de DNS 514 00:27:19,410 --> 00:27:21,340 ou un autre système de ce genre. 515 00:27:21,340 --> 00:27:23,894 Le résultat est donc que nous, les humains pourraient seulement 516 00:27:23,894 --> 00:27:26,810 se rendre compte que, OK, cela ressemble Gmail ou au moins l'ancienne version, 517 00:27:26,810 --> 00:27:29,480 comme cette diapositive à partir de une présentation plus. 518 00:27:29,480 --> 00:27:34,250 Mais il semble que this-- http://www.google.com. 519 00:27:34,250 --> 00:27:37,370 >> Donc, là aussi, la réalité est que la façon dont beaucoup d'entre vous, 520 00:27:37,370 --> 00:27:41,290 quand vous allez à Facebook ou Gmail ou tout site Web et vous savez un petit quelque chose 521 00:27:41,290 --> 00:27:47,060 sur SSL, combien d'entre vous physiquement taper https: // et puis le site 522 00:27:47,060 --> 00:27:48,990 Nom, entrez. 523 00:27:48,990 --> 00:27:52,940 La plupart d'entre nous il suffit de taper, comme, CS50, appuyez sur Entrée, ou F-A pour Facebook 524 00:27:52,940 --> 00:27:54,770 et appuyez sur Entrée, et laissez l'auto-complétion. 525 00:27:54,770 --> 00:27:57,620 Mais dans les coulisses, si vous regardez votre trafic HTTP, 526 00:27:57,620 --> 00:28:00,090 il ya probablement tout un tas de ces en-têtes de localisation 527 00:28:00,090 --> 00:28:03,580 qui vous envoient de Facebook www.facebook.com à 528 00:28:03,580 --> 00:28:07,250 à https://www.facebook.com. 529 00:28:07,250 --> 00:28:12,300 >> Voilà donc un ou plusieurs transactions HTTP où votre information est complètement 530 00:28:12,300 --> 00:28:15,102 envoyé en clair, pas de cryptage que ce soit. 531 00:28:15,102 --> 00:28:17,810 Maintenant, cela pourrait ne pas être une grande traiter si tout ce que vous essayez de faire 532 00:28:17,810 --> 00:28:20,980 est l'accès la page d'accueil, vous n'êtes pas envoyer votre nom d'utilisateur et mot de passe. 533 00:28:20,980 --> 00:28:23,130 Mais qu'est-ce-dessous le capot, en particulier 534 00:28:23,130 --> 00:28:28,130 pour les sites web en PHP qui est également être envoyés avant et en arrière lorsque 535 00:28:28,130 --> 00:28:33,820 vous visitez certaines page web si que les utilisations du site Web, par exemple, PHP 536 00:28:33,820 --> 00:28:37,370 et met en œuvre des fonctionnalités comme pset7? 537 00:28:37,370 --> 00:28:40,840 Quel a été envoyé avant et en arrière dans vos en-têtes HTTP qui vous a donné 538 00:28:40,840 --> 00:28:44,903 l'accès à cette jolie Super utile mondial en PHP? 539 00:28:44,903 --> 00:28:45,710 >> PUBLIC: Biscuits. 540 00:28:45,710 --> 00:28:49,020 >> DAVID J. Malan: cookies, spécifiquement le PHP sess ID cookie. 541 00:28:49,020 --> 00:28:53,100 Donc, rappeler, si nous allons à, par exemple, cs50.harvard.edu nouveau, 542 00:28:53,100 --> 00:28:56,440 mais cette fois, nous allons ouvrir le onglet Réseau, et maintenant, ici, 543 00:28:56,440 --> 00:29:01,570 nous allons littéralement juste aller à http://cs50.harvard.edu 544 00:29:01,570 --> 00:29:03,030 puis appuyez sur Entrée. 545 00:29:03,030 --> 00:29:05,520 Et puis regarder l'écran vers le bas ici. 546 00:29:05,520 --> 00:29:09,600 Notez que nous avons fait arrière un 301 déplacés de façon permanente 547 00:29:09,600 --> 00:29:12,820 un message, ce qui signifie que il ya un en-tête de l'emplacement ici, 548 00:29:12,820 --> 00:29:15,610 qui est maintenant me rediriger vers HTTPS. 549 00:29:15,610 --> 00:29:21,330 >> Mais le hic est que, si je l'ai déjà eu un cookie gravé sur ma main pratiquement, 550 00:29:21,330 --> 00:29:25,890 comme nous l'avons évoqué précédemment, et Je le genre humain de le savoir 551 00:29:25,890 --> 00:29:29,090 il suffit de visiter la précarité la version, et mon navigateur prend 552 00:29:29,090 --> 00:29:34,020 sur lui-même pour montrer que timbre de main pour la première demande, qui se fait via HTTP, 553 00:29:34,020 --> 00:29:36,610 un homme au milieu, tout adversaire au milieu, 554 00:29:36,610 --> 00:29:39,380 peut théoriquement juste voir ces en-têtes HTTP, juste 555 00:29:39,380 --> 00:29:40,980 comme on cherche à les ici. 556 00:29:40,980 --> 00:29:43,310 Il est seulement une fois que vous êtes parler à un HTTPS 557 00:29:43,310 --> 00:29:47,780 URL ne ce timbre de main se rendre crypté, à la César ou Vigenère, 558 00:29:47,780 --> 00:29:50,500 mais avec un algorithme amateur tout à fait. 559 00:29:50,500 --> 00:29:53,611 Donc, là aussi, même si sites Web utilisent le protocole HTTPS, 560 00:29:53,611 --> 00:29:56,860 nous, les humains ont été conditionnés, merci aux techniques de l'auto-complétion et d'autres, 561 00:29:56,860 --> 00:29:59,827 de ne même pas penser à les implications potentielles. 562 00:29:59,827 --> 00:30:01,160 Maintenant, il ya des façons de contourner cela. 563 00:30:01,160 --> 00:30:03,140 Par exemple, beaucoup les sites Web peuvent être configurés 564 00:30:03,140 --> 00:30:05,848 de sorte que, une fois que vous avez cette main timbre, vous pouvez dire au navigateur, 565 00:30:05,848 --> 00:30:07,750 ce timbre de main est seulement pour les connexions SSL. 566 00:30:07,750 --> 00:30:11,702 Le navigateur ne doit pas présenter il à moi si cela est sur SSL. 567 00:30:11,702 --> 00:30:13,410 Mais de nombreux sites Web ne vous embêtez pas avec qui. 568 00:30:13,410 --> 00:30:17,260 Et de nombreux sites Web apparemment même pas la peine de SSL du tout. 569 00:30:17,260 --> 00:30:20,540 >> Donc, pour en savoir plus sur qui, il ya en fait même plus de saleté dans cette présentation 570 00:30:20,540 --> 00:30:24,010 qu'un autre a donné à un soi-disant noir conférence de chapeau il ya quelques années, 571 00:30:24,010 --> 00:30:26,468 où il ya encore autre malices personnes ont utilisé. 572 00:30:26,468 --> 00:30:28,630 Vous pouvez rappeler ce notion d'une favicon, ce qui 573 00:30:28,630 --> 00:30:32,270 est comme un petit logo qui est souvent dans la fenêtre du navigateur. 574 00:30:32,270 --> 00:30:34,610 Eh bien, ce qui a été fréquent chez les méchants est 575 00:30:34,610 --> 00:30:36,340 à faire des icônes Fab qui ressemblent à quoi? 576 00:30:36,340 --> 00:30:39,054 577 00:30:39,054 --> 00:30:39,970 PUBLIC: [inaudible]. 578 00:30:39,970 --> 00:30:40,280 DAVID J. Malan: répète? 579 00:30:40,280 --> 00:30:41,490 Audience: Les sites Web. 580 00:30:41,490 --> 00:30:42,130 DAVID J. Malan: Pas un site Web. 581 00:30:42,130 --> 00:30:43,394 Donc favicon, minuscule icône. 582 00:30:43,394 --> 00:30:45,560 Quel serait le plus malveillant, chose manipulatrice 583 00:30:45,560 --> 00:30:47,832 vous pouvez faire votre site web icône par défaut ressembler? 584 00:30:47,832 --> 00:30:48,790 PUBLIC: Un blocage vert. 585 00:30:48,790 --> 00:30:49,080 DAVID J. Malan: Qu'est-ce que? 586 00:30:49,080 --> 00:30:50,160 PUBLIC: Un petit cadenas vert. 587 00:30:50,160 --> 00:30:51,960 DAVID J. Malan: Comme un blocage vert, exactement. 588 00:30:51,960 --> 00:30:55,242 Ainsi, vous pouvez avoir cette esthétique d'un petit cadenas vert, 589 00:30:55,242 --> 00:30:57,950 faisant allusion au monde, oh, nous sommes assurer, lorsque, encore une fois, tout cela signifie 590 00:30:57,950 --> 00:31:00,210 est que vous savez du HTML. 591 00:31:00,210 --> 00:31:02,895 Donc, le détournement de session se réfère à exactement cela. 592 00:31:02,895 --> 00:31:05,936 Si vous avez quelqu'un qui est une sorte de renifler les ondes dans cette salle 593 00:31:05,936 --> 00:31:09,150 ou a un accès physique à un réseau et peuvent voir vos cookies, 594 00:31:09,150 --> 00:31:12,152 il ou elle peut saisir que ID cookie de PHP. 595 00:31:12,152 --> 00:31:13,860 Et puis, si elles sont suffisamment de bon sens pour savoir 596 00:31:13,860 --> 00:31:18,200 comment envoyer ce cookie comme leur propre timbre de main juste en copiant cette valeur 597 00:31:18,200 --> 00:31:20,860 et l'envoi des en-têtes HTTP, quelqu'un pourrait très facilement 598 00:31:20,860 --> 00:31:23,510 se connecter à l'un des Facebook comptes ou comptes Gmail 599 00:31:23,510 --> 00:31:27,355 ou comptes Twitter qui sont ici, ouverts dans la salle, si vous ne l'utilisez SSL 600 00:31:27,355 --> 00:31:31,500 et si le site est ne pas utiliser correctement SSL. 601 00:31:31,500 --> 00:31:33,690 >> Donc, nous allons transition à une autre. 602 00:31:33,690 --> 00:31:34,700 Donc, une autre histoire vraie. 603 00:31:34,700 --> 00:31:38,680 Et ce juste cassé dans la nouvelles il ya une semaine ou deux. 604 00:31:38,680 --> 00:31:41,520 Verizon a fait une chose très mal, 605 00:31:41,520 --> 00:31:45,110 et que les meilleures personnes peuvent dire, depuis au moins 2012, selon laquelle, 606 00:31:45,110 --> 00:31:51,550 lorsque vous accédez à des sites Web via un Verizon téléphone portable, quel que soit le fabricant, il est, 607 00:31:51,550 --> 00:31:54,150 ils ont été présomptueusement, comme l'histoire, 608 00:31:54,150 --> 00:31:59,890 injecter dans l'ensemble de votre HTTP trafic de leur propre en-tête HTTP. 609 00:31:59,890 --> 00:32:04,040 Et que tête regards comme this-- X-UIDH. 610 00:32:04,040 --> 00:32:06,465 UID est comme un unique, identifiant ou l'ID utilisateur. 611 00:32:06,465 --> 00:32:09,660 Et X signifie simplement ceci est une coutume tête qui est pas standard. 612 00:32:09,660 --> 00:32:11,720 >> Mais ce que cela signifie est que, si je tire, 613 00:32:11,720 --> 00:32:14,640 par exemple, un site Web sur mon téléphone ici-- 614 00:32:14,640 --> 00:32:18,310 et je suis sur que mon Verizon carrier-- même si mon navigateur peut-être pas 615 00:32:18,310 --> 00:32:21,110 soit l'envoi de cette HTTP en-tête, Verizon, dès 616 00:32:21,110 --> 00:32:23,650 lorsque le signal atteint leur tour de téléphonie cellulaire, quelque part, 617 00:32:23,650 --> 00:32:28,187 a été pendant un certain temps l'injection de ce tête dans l'ensemble de notre trafic HTTP. 618 00:32:28,187 --> 00:32:29,020 Pourquoi font-ils cela? 619 00:32:29,020 --> 00:32:31,920 Probablement pour des raisons de suivi, pour des raisons de publicité. 620 00:32:31,920 --> 00:32:36,280 >> Mais la décision de conception débile ici est que l'en-tête HTTP, 621 00:32:36,280 --> 00:32:41,090 comme vous savez les gars de pset6, est reçu par un serveur Web 622 00:32:41,090 --> 00:32:42,540 que vous demandez trafic de. 623 00:32:42,540 --> 00:32:44,248 Donc, tout ce temps, si vous avez été en visite 624 00:32:44,248 --> 00:32:48,019 Facebook ou Gmail ou tout autre site cela ne veut pas utiliser SSL tout moment-- 625 00:32:48,019 --> 00:32:49,810 et en fait, celles deux heureusement do-- maintenant 626 00:32:49,810 --> 00:32:52,670 mais d'autres sites Web qui ne pas utiliser SSL tout le temps, 627 00:32:52,670 --> 00:32:54,930 Verizon a essentiellement été plantation, de force, 628 00:32:54,930 --> 00:32:58,180 un timbre de la main sur l'ensemble de notre mains que même nous ne voyons pas, 629 00:32:58,180 --> 00:33:00,330 mais plutôt, les sites finaux font. 630 00:33:00,330 --> 00:33:02,890 Et il n'a pas été que difficile pour quiconque sur Internet 631 00:33:02,890 --> 00:33:05,245 l'exécution d'un serveur Web pour réaliser, ooh, ce David, 632 00:33:05,245 --> 00:33:09,340 ou, ooh, cela est Davin, même si nous sommes rigoureux sur l'effacement nos cookies, 633 00:33:09,340 --> 00:33:10,772 car il ne vient pas de nous. 634 00:33:10,772 --> 00:33:11,980 Ça vient de la porte. 635 00:33:11,980 --> 00:33:14,896 >> Ils font une recherche sur votre numéro de téléphone et puis dire, oh, ce David. 636 00:33:14,896 --> 00:33:18,890 Permettez-moi d'injecter un identifiant unique que nos annonceurs ou celui qui peut 637 00:33:18,890 --> 00:33:19,850 garder une trace de cela. 638 00:33:19,850 --> 00:33:23,769 Donc, cela est effectivement très, très, très mauvaise et horrible. 639 00:33:23,769 --> 00:33:26,060 Et je voudrais vous encourager à jetez un oeil, par exemple, 640 00:33:26,060 --> 00:33:29,950 à cette adresse, que je déclinent En fait, je essayé ce matin. 641 00:33:29,950 --> 00:33:31,970 Je l'ai écrit un petit script, mettre à cette URL, 642 00:33:31,970 --> 00:33:34,770 visité avec mon propre Verizon téléphone portable après avoir Wi-Fi désactivé. 643 00:33:34,770 --> 00:33:38,010 Donc, vous devez activer le Wi-Fi désactivé afin que vous utilisez 3G ou LTE ou similaire. 644 00:33:38,010 --> 00:33:40,010 Et puis, si vous visitez cette URL, tout ce script 645 00:33:40,010 --> 00:33:41,770 fait pour vous les gars, si vous voulez jouer, 646 00:33:41,770 --> 00:33:45,380 est-il crache ce que en-têtes HTTP votre téléphone envoie à notre serveur. 647 00:33:45,380 --> 00:33:48,510 Et je réellement, en toute équité, fait pas voir ce matin, qui 648 00:33:48,510 --> 00:33:51,430 me fait penser soit local tour de téléphonie cellulaire, je suis connecté à 649 00:33:51,430 --> 00:33:55,160 ou quoi ne le fait pas, ou qu'ils ont reculé de le faire temporairement. 650 00:33:55,160 --> 00:33:58,160 Mais pour plus d'informations, à la tête de cette URL ici. 651 00:33:58,160 --> 00:34:00,680 >> Et maintenant, à ce this-- comique peut avoir du sens. 652 00:34:00,680 --> 00:34:03,530 653 00:34:03,530 --> 00:34:04,030 Non? 654 00:34:04,030 --> 00:34:04,530 D'accord. 655 00:34:04,530 --> 00:34:05,390 Bien. 656 00:34:05,390 --> 00:34:06,310 Ce sont morts. 657 00:34:06,310 --> 00:34:07,240 Bien. 658 00:34:07,240 --> 00:34:11,330 >> Donc, nous allons jeter un oeil à un couple de plus attaques, si seulement pour sensibiliser 659 00:34:11,330 --> 00:34:13,179 et ensuite offrir un couple les solutions possibles 660 00:34:13,179 --> 00:34:14,430 de sorte que vous êtes d'autant plus conscient. 661 00:34:14,430 --> 00:34:17,305 Ce dont nous avons parlé l'autre jour, mais n'a pas donné de nom. 662 00:34:17,305 --> 00:34:22,360 Il est une demande falsification cross-site, qui est une façon élégante de dire excessivement 663 00:34:22,360 --> 00:34:26,489 vous inciter un utilisateur à cliquer sur une URL de ce genre, qui les astuces 664 00:34:26,489 --> 00:34:28,280 dans certains comportements qui ils avaient pas l'intention. 665 00:34:28,280 --> 00:34:30,710 >> Dans ce cas, il semble pour essayer de me tromper 666 00:34:30,710 --> 00:34:32,920 dans la vente de mes actions de Google. 667 00:34:32,920 --> 00:34:36,810 Et ce sera un succès si I, le programmeur de pset7, 668 00:34:36,810 --> 00:34:40,409 ont pas encore fait quoi? 669 00:34:40,409 --> 00:34:44,739 Ou plutôt, plus généralement, dans ce cas suis-je vulnérable à une attaque 670 00:34:44,739 --> 00:34:49,460 si quelqu'un trucs un autre utilisateur en cliquant sur une URL comme ça? 671 00:34:49,460 --> 00:34:49,960 Ouais? 672 00:34:49,960 --> 00:34:52,500 >> Public: Vous ne distinguez pas entre GET et POST. 673 00:34:52,500 --> 00:34:52,760 >> DAVID J. Malan: Bon. 674 00:34:52,760 --> 00:34:54,850 Si nous ne distinguons pas entre GET et POST, 675 00:34:54,850 --> 00:34:57,950 et en effet, si nous permettons GET pour vendre des choses, 676 00:34:57,950 --> 00:35:00,284 nous invitons ce genre d'attaque. 677 00:35:00,284 --> 00:35:01,950 Mais nous pourrions encore atténuer quelque peu. 678 00:35:01,950 --> 00:35:04,283 Et je l'ai commenté, je pense, la semaine dernière que l'Amazone au moins 679 00:35:04,283 --> 00:35:08,180 tente d'atténuer ce avec une technique qui est assez simple. 680 00:35:08,180 --> 00:35:11,860 Que serait une chose intelligente à faire sur votre serveur, 681 00:35:11,860 --> 00:35:14,652 plutôt que de la vente à l'aveuglette quel que soit le symbole des types d'utilisateurs en? 682 00:35:14,652 --> 00:35:15,984 PUBLIC: Confirmation de toutes sortes? 683 00:35:15,984 --> 00:35:19,320 DAVID J. Malan: Un écran de confirmation, quelque chose qui implique l'interaction humaine 684 00:35:19,320 --> 00:35:21,300 de sorte que je suis obligé de faire appel du jugement, 685 00:35:21,300 --> 00:35:23,930 même si je l'ai naïvement cliqué un lien qui ressemble à ceci 686 00:35:23,930 --> 00:35:27,760 et me conduit à l'écran de la cellule, à moins m'a demandé de confirmer ou de nier. 687 00:35:27,760 --> 00:35:32,460 Mais pas une attaque rare, surtout dans ce qu'on appelle le phishing ou de spam comme 688 00:35:32,460 --> 00:35:33,280 attaques. 689 00:35:33,280 --> 00:35:34,890 >> Maintenant, celui-ci est un peu plus subtile. 690 00:35:34,890 --> 00:35:37,060 Ceci est une attaque de script inter-sites. 691 00:35:37,060 --> 00:35:39,250 Et ce qui se passe si votre site ne utilise pas 692 00:35:39,250 --> 00:35:41,260 l'équivalent de htmlspecialchars. 693 00:35:41,260 --> 00:35:45,160 Et cela prend d'entrée de l'utilisateur et juste aveuglément l'injecter dans une page web, 694 00:35:45,160 --> 00:35:48,170 comme avec impression ou écho, with-- again-- à appeler quelque chose 695 00:35:48,170 --> 00:35:49,710 comme htmlspecialchars. 696 00:35:49,710 --> 00:35:52,602 >> Supposons donc que le site en question est vulnerable.com. 697 00:35:52,602 --> 00:35:55,620 Et si elle accepte un paramètre appelé q. 698 00:35:55,620 --> 00:35:59,040 Regardez ce qui pourrait arriver si je fait, un mauvais gars, 699 00:35:59,040 --> 00:36:02,360 taper ou inciter un utilisateur à visite d'une URL qui ressemble à this-- 700 00:36:02,360 --> 00:36:05,900 q = balise script ouvert, fermé balise script. 701 00:36:05,900 --> 00:36:08,480 Et encore, je suppose qui est non vulnerable.com 702 00:36:08,480 --> 00:36:11,740 va devenir dangereux personnages comme parenthèses ouvertes 703 00:36:11,740 --> 00:36:15,570 en entités HTML, le esperluette, L-T, chose virgule 704 00:36:15,570 --> 00:36:17,090 que vous avez pu voir auparavant. 705 00:36:17,090 --> 00:36:18,900 >> Mais ce qui est le script ou du code JavaScript 706 00:36:18,900 --> 00:36:21,160 Je suis en train de tromper un utilisateur dans l'exécution? 707 00:36:21,160 --> 00:36:25,420 Eh bien, document.location référence à l'adresse actuelle de mon navigateur. 708 00:36:25,420 --> 00:36:29,400 Donc, si je fais document.location =, cela me permet de rediriger l'utilisateur 709 00:36:29,400 --> 00:36:30,830 en JavaScript à un autre site Web. 710 00:36:30,830 --> 00:36:34,290 Il est comme notre fonction PHP réorienter, mais fait en JavaScript. 711 00:36:34,290 --> 00:36:35,900 >> Où suis-je en train d'envoyer à l'utilisateur? 712 00:36:35,900 --> 00:36:40,110 Eh bien, apparemment, badguy.com/log.php, qui est un script, apparemment, 713 00:36:40,110 --> 00:36:43,530 le méchant a écrit, qui prend un paramètre appelé cookie. 714 00:36:43,530 --> 00:36:46,790 >> Et remarquez, que dois-je semble être la concaténation 715 00:36:46,790 --> 00:36:49,190 sur l'extrémité de ce signe égal? 716 00:36:49,190 --> 00:36:52,030 Eh bien, quelque chose qui dit document.cookie. 717 00:36:52,030 --> 00:36:53,320 Nous avons pas parlé. 718 00:36:53,320 --> 00:36:55,730 Mais il se trouve, dans JavaScript, comme dans PHP, 719 00:36:55,730 --> 00:36:59,770 vous pouvez accéder à tous les témoins que votre navigateur utilise réellement. 720 00:36:59,770 --> 00:37:02,180 >> Ainsi, l'effet de celui-ci ligne de code, si un utilisateur 721 00:37:02,180 --> 00:37:06,440 est trompé en cliquant sur ce lien et le site ne vulnerable.com 722 00:37:06,440 --> 00:37:10,000 échapper avec htmlspecialchars, est que vous avez juste efficace 723 00:37:10,000 --> 00:37:13,660 téléchargé à log.php tous vos cookies. 724 00:37:13,660 --> 00:37:17,300 Et pas toujours que problématique, sauf si l'un de ces témoins 725 00:37:17,300 --> 00:37:20,040 est votre ID de session, votre dite tampon à main, qui 726 00:37:20,040 --> 00:37:26,470 signifie badguy.com peut faire son propre les requêtes HTTP, l'envoi de cette même main 727 00:37:26,470 --> 00:37:30,210 timbre, la même tête de cookie, et se connecter à tout ce site 728 00:37:30,210 --> 00:37:33,680 que vous visitiez, qui en ce cas est vulnerable.com. 729 00:37:33,680 --> 00:37:35,940 Il est un cross-site scripting attaque dans le sens 730 00:37:35,940 --> 00:37:38,130 que vous sorte de ruse un seul site à raconter 731 00:37:38,130 --> 00:37:43,560 un autre site sur des informations il ne doit pas, en fait, avoir accès. 732 00:37:43,560 --> 00:37:46,510 >> Très bien, prêt pour un autre détail inquiétant? 733 00:37:46,510 --> 00:37:49,970 Très bien, le monde est un endroit effrayant, légitimement. 734 00:37:49,970 --> 00:37:52,480 Voici un simple, Exemple JavaScript qui est 735 00:37:52,480 --> 00:37:54,847 dans le code source d'aujourd'hui appelé géolocalisation 0 et 1. 736 00:37:54,847 --> 00:37:56,930 Et il ya un couple soluces en ligne pour cela. 737 00:37:56,930 --> 00:37:59,920 >> Et il ne la suit si je ouvrir cette page Web dans Chrome. 738 00:37:59,920 --> 00:38:04,590 Il fait d'abord rien. 739 00:38:04,590 --> 00:38:07,300 OK, nous allons essayer encore une fois. 740 00:38:07,300 --> 00:38:07,800 Oh. 741 00:38:07,800 --> 00:38:10,990 742 00:38:10,990 --> 00:38:13,370 Non, il faut faire quelque chose. 743 00:38:13,370 --> 00:38:16,500 OK, d'attendre. 744 00:38:16,500 --> 00:38:18,200 >> Essayons une fois de plus. 745 00:38:18,200 --> 00:38:21,285 746 00:38:21,285 --> 00:38:21,785 [Inaudible] 747 00:38:21,785 --> 00:38:26,941 748 00:38:26,941 --> 00:38:29,444 Ah, OK, ne sais pas pourquoi the-- oh, l'appareil 749 00:38:29,444 --> 00:38:31,360 probablement perdu internet accès pour une raison quelconque. 750 00:38:31,360 --> 00:38:32,840 Tout droit, arrive donc à moi aussi. 751 00:38:32,840 --> 00:38:34,650 >> Très bien, alors avis ce qui se passe ici. 752 00:38:34,650 --> 00:38:37,300 Cet aspect cryptique URL, qui est juste l'un des serveur CS50, 753 00:38:37,300 --> 00:38:41,130 veut utiliser mon ordinateur de emplacement, comme physiquement cela signifie. 754 00:38:41,130 --> 00:38:45,160 Et si, en effet, je clique sur Permettre, nous allons voir ce qui se passe. 755 00:38:45,160 --> 00:38:49,030 Apparemment, ceci est mon latitude actuelle et coordonne longitudinal vers le bas 756 00:38:49,030 --> 00:38:51,660 à une sacrément bonne résolution. 757 00:38:51,660 --> 00:38:53,310 >> Alors, comment ai-je à cela? 758 00:38:53,310 --> 00:38:57,620 Comment fonctionne ce site, comme serveur CS50, connaître physiquement où dans le monde 759 00:38:57,620 --> 00:38:59,600 Je suis, encore moins avec cette précision. 760 00:38:59,600 --> 00:39:01,990 Eh bien, tourne out-- Disons simplement regarder la source-- de la page 761 00:39:01,990 --> 00:39:05,280 qui ici est un tas de HTML à le fond qui comporte des premier this-- 762 00:39:05,280 --> 00:39:09,080 body onload = "géolocaliser" - juste une fonction je l'ai écrit. 763 00:39:09,080 --> 00:39:11,840 >> Et je dis, sur le chargement la page, appelez Géolocaliser. 764 00:39:11,840 --> 00:39:13,750 Et puis il n'y a rien dans le corps, parce que 765 00:39:13,750 --> 00:39:16,270 dans la tête de la page, remarquerez que je dois ici. 766 00:39:16,270 --> 00:39:18,090 Voici ma fonction de Géolocalisez. 767 00:39:18,090 --> 00:39:23,560 Et cela est juste une erreur checking-- si le type de navigator.geolocation 768 00:39:23,560 --> 00:39:24,490 est non défini. 769 00:39:24,490 --> 00:39:26,240 Donc JavaScript a cette mécanisme où vous 770 00:39:26,240 --> 00:39:28,270 peut dire, quelle est la type de cette variable? 771 00:39:28,270 --> 00:39:30,790 Et si ça ne undefined-- ce qui signifie qu'il est certain value-- 772 00:39:30,790 --> 00:39:35,940 Je vais appeler navigator.geolocation.getCurrentPosition 773 00:39:35,940 --> 00:39:37,230 et puis rappel. 774 00:39:37,230 --> 00:39:37,750 >> Qu'est-ce que ce est ça? 775 00:39:37,750 --> 00:39:39,916 Donc, en général, ce qui est un rappel, juste pour être clair? 776 00:39:39,916 --> 00:39:42,890 Vous pourriez avoir rencontré ce déjà dans pset8. 777 00:39:42,890 --> 00:39:44,790 Rappel est un générique terme pour faire quoi? 778 00:39:44,790 --> 00:39:48,430 779 00:39:48,430 --> 00:39:49,554 On se sent comme juste moi aujourd'hui. 780 00:39:49,554 --> 00:39:50,470 PUBLIC: [inaudible]. 781 00:39:50,470 --> 00:39:53,322 782 00:39:53,322 --> 00:39:55,280 DAVID J. Malan: Exactement, une fonction qui devrait 783 00:39:55,280 --> 00:39:57,330 être appelé que si nous disposons de données. 784 00:39:57,330 --> 00:40:01,510 Cet appel au navigateur, obtenir mon courant poste, pourrait prendre une milliseconde, 785 00:40:01,510 --> 00:40:02,720 il peut prendre une minute. 786 00:40:02,720 --> 00:40:06,960 Ce que cela signifie est que nous disons la méthode get getCurrentPosition, 787 00:40:06,960 --> 00:40:09,910 appeler cette fonction de rappel, qui je rappel littéralement nommé 788 00:40:09,910 --> 00:40:13,150 pour plus de simplicité, qui apparemment est celui-là. 789 00:40:13,150 --> 00:40:16,290 >> Et la façon dont fonctionne getCurrentPosition, simplement en lisant la documentation 790 00:40:16,290 --> 00:40:19,540 pour un peu de code JavaScript en ligne, est qu'il appelle cette soi-disant rappel 791 00:40:19,540 --> 00:40:23,220 fonction, passe en un objet JavaScript, 792 00:40:23,220 --> 00:40:28,970 à l'intérieur de laquelle est .coords.latitude et .coords.longitude, 793 00:40:28,970 --> 00:40:32,140 qui est exactement comment, alors, quand je rechargé cette page 794 00:40:32,140 --> 00:40:33,985 Je pouvais voir ma position ici. 795 00:40:33,985 --> 00:40:35,610 Maintenant, au moins il y avait une défense ici. 796 00:40:35,610 --> 00:40:37,820 Avant je suis allé cette page quand elle a effectivement travaillé, 797 00:40:37,820 --> 00:40:40,935 qu'est-ce que je au moins incité pour? 798 00:40:40,935 --> 00:40:42,180 >> PUBLIC: [inaudible]. 799 00:40:42,180 --> 00:40:44,200 >> DAVID J. Malan: Oui ou no-- faire vous souhaitez autoriser ou refuser cela? 800 00:40:44,200 --> 00:40:46,630 Mais penser, aussi, sur les habitudes vous les gars ont probablement adopté, 801 00:40:46,630 --> 00:40:48,330 à la fois sur votre téléphone et de vos navigateurs. 802 00:40:48,330 --> 00:40:50,390 Beaucoup d'entre nous, moi-même inclus, sont probablement 803 00:40:50,390 --> 00:40:54,960 assez prédisposés ces vous days-- voir un pop-up, entrez simplement, OK, approuver, 804 00:40:54,960 --> 00:40:55,730 Autoriser. 805 00:40:55,730 --> 00:40:59,070 Et de plus en plus, vous pouvez mettre vous à risque pour ces raisons. 806 00:40:59,070 --> 00:41:03,280 >> Donc, en fait, il y avait cette merveilleuse bug quelques années ago-- ou manque de feature-- 807 00:41:03,280 --> 00:41:08,250 que iTunes avait il ya quelques années, de sorte que, si vous aviez un téléphone cellulaire, 808 00:41:08,250 --> 00:41:12,000 et il était un iPhone, et vous avez quitté votre maison 809 00:41:12,000 --> 00:41:15,600 et donc voyagé à travers le monde ou le quartier, tout ce temps, 810 00:41:15,600 --> 00:41:17,819 votre téléphone enregistrait Où que vous soyez via GPS. 811 00:41:17,819 --> 00:41:20,610 Et cela est effectivement divulguée, et les gens attendent ce genre de maintenant. 812 00:41:20,610 --> 00:41:21,930 Votre téléphone sait où vous êtes. 813 00:41:21,930 --> 00:41:24,990 Mais le problème était que, lorsque vous sauvegardez 814 00:41:24,990 --> 00:41:29,260 votre téléphone à iTunes-- ce fut avant les jours de iCloud, ce qui est mieux pour 815 00:41:29,260 --> 00:41:33,960 ou pour worse-- les données étaient stockées dans iTunes, complètement clair. 816 00:41:33,960 --> 00:41:37,370 Donc, si vous avez une famille ou vos colocataires ou un voisin malveillant qui est 817 00:41:37,370 --> 00:41:41,430 curieux de littéralement tous les GPS coordonnez vous avez jamais été à, 818 00:41:41,430 --> 00:41:43,300 il ou elle pourrait tout s'asseoir sur iTunes, exécutez 819 00:41:43,300 --> 00:41:46,540 un logiciel qui a été librement disponibles, et des cartes de produire ce genre. 820 00:41:46,540 --> 00:41:48,680 >> En fait, ce que je produit de mon propre téléphone. 821 00:41:48,680 --> 00:41:49,380 Je l'ai branché. 822 00:41:49,380 --> 00:41:51,670 Et il semble que, sur la base sur les points bleus là-bas, 823 00:41:51,670 --> 00:41:53,900 qui est où la plupart des les coordonnées GPS étaient 824 00:41:53,900 --> 00:41:56,680 connecté par iTunes que je était dans le nord-il. 825 00:41:56,680 --> 00:42:00,030 Mais je apparemment voyagé à travers un peu, même dans le Massachusetts. 826 00:42:00,030 --> 00:42:01,950 >> Voilà donc le port de Boston là, sur la droite. 827 00:42:01,950 --> 00:42:04,430 Voilà genre de Cambridge et Boston, où il est plus sombre. 828 00:42:04,430 --> 00:42:07,660 Et de temps en temps, je courrais courses à une géographie plus. 829 00:42:07,660 --> 00:42:11,464 >> Mais iTunes, pendant des années, avait, comme le meilleur Je pourrais dire, toutes ces données sur moi. 830 00:42:11,464 --> 00:42:13,380 Vous pourriez dire que, cette année, je suis en fait 831 00:42:13,380 --> 00:42:17,990 voyage beaucoup entre Boston et New York, aller et retour 832 00:42:17,990 --> 00:42:18,830 et d'avant en arrière. 833 00:42:18,830 --> 00:42:22,660 Et en effet, ceci est moi sur Amtrak, dos et-vient, d'avant en arrière, un peu. 834 00:42:22,660 --> 00:42:25,970 Tout cela a été d'être connecté et stockées sous forme cryptée sur mon ordinateur 835 00:42:25,970 --> 00:42:28,520 pour tous ceux qui pourraient avoir accès à mon ordinateur. 836 00:42:28,520 --> 00:42:29,480 >> Ce fut inquiétant. 837 00:42:29,480 --> 00:42:32,180 Je ne sais pas pourquoi je suis en Pennsylvanie ou pourquoi 838 00:42:32,180 --> 00:42:35,277 Mon téléphone a été en Pennsylvanie, apparemment assez dense. 839 00:42:35,277 --> 00:42:37,360 Et puis, finalement, je regardais à mon Gcal, et, oh, je 840 00:42:37,360 --> 00:42:39,880 visité CMU, Carnegie Mellon, à l'époque. 841 00:42:39,880 --> 00:42:42,031 Et ouf, ce genre de expliqué que blip. 842 00:42:42,031 --> 00:42:43,780 Et puis, si vous zoomez à plus, vous pouvez 843 00:42:43,780 --> 00:42:46,850 Je vois visité San Francisco une ou plusieurs fois, puis, 844 00:42:46,850 --> 00:42:51,140 et même d'avoir une escale dans ce Je pense est Vegas, là-bas. 845 00:42:51,140 --> 00:42:54,120 Donc, tout juste un this-- escale à l'aéroport. 846 00:42:54,120 --> 00:42:56,420 >> PUBLIC: [Rires] 847 00:42:56,420 --> 00:43:00,760 >> Donc, ceci est seulement pour dire que ces problèmes, honnêtement, sont omniprésents. 848 00:43:00,760 --> 00:43:02,780 Et il se sent seul de plus en plus comme il ya 849 00:43:02,780 --> 00:43:05,810 de plus en plus de celle-ci étant décrits, qui est probablement une bonne chose. 850 00:43:05,810 --> 00:43:08,390 Je crois pouvoir dire, le monde est pas aggravation au logiciel d'écriture. 851 00:43:08,390 --> 00:43:10,520 Nous nous améliorons, espérons-le, à aperçoive 852 00:43:10,520 --> 00:43:13,037 à quel point certains logiciels est que nous utilisons. 853 00:43:13,037 --> 00:43:14,870 Et heureusement, certains les entreprises commencent 854 00:43:14,870 --> 00:43:17,080 être tenu responsable pour cela. 855 00:43:17,080 --> 00:43:19,080 >> Mais quels types de défenses pouvez-vous avoir à l'esprit? 856 00:43:19,080 --> 00:43:23,610 Ainsi, en plus des gestionnaires de mots de passe, comme 1Password et LastPass et autres, 857 00:43:23,610 --> 00:43:27,340 mais pas seulement changer vos mots de passe et à venir avec les aléatoires 858 00:43:27,340 --> 00:43:29,700 en utilisant un logiciel comme que, vous pouvez aussi essayer 859 00:43:29,700 --> 00:43:31,700 mieux que vous pouvez pour chiffrer tout votre trafic 860 00:43:31,700 --> 00:43:34,680 pour au moins restreindre la zone de menace. 861 00:43:34,680 --> 00:43:38,100 Ainsi, par exemple, en tant que filiales de Harvard, vous pouvez tous aller à vpn.harvard.edu 862 00:43:38,100 --> 00:43:41,010 et vous connecter avec votre ID de Harvard et le code PIN. 863 00:43:41,010 --> 00:43:49,350 Et ce sera d'établir un environnement sécurisé connexion entre vous et Harvard. 864 00:43:49,350 --> 00:43:51,150 >> Maintenant, cela ne veut pas vous protège pas nécessairement 865 00:43:51,150 --> 00:43:54,360 contre les menaces qui sont entre Harvard et Facebook ou Harvard 866 00:43:54,360 --> 00:43:54,861 et Gmail. 867 00:43:54,861 --> 00:43:56,735 Mais si vous êtes assis dans un aéroport ou vous êtes 868 00:43:56,735 --> 00:43:59,260 assis dans un Starbucks ou vous êtes assis à la place d'un ami, 869 00:43:59,260 --> 00:44:02,730 et on n'a pas vraiment confiance en eux ou leur configuration de leur routeur de la maison, 870 00:44:02,730 --> 00:44:04,970 au moins vous pouvez établir une connexion sécurisée 871 00:44:04,970 --> 00:44:10,260 à une entité aiment ce lieu qui est probablement un peu mieux sécurisé 872 00:44:10,260 --> 00:44:12,437 que quelque chose comme un Starbucks ou similaire. 873 00:44:12,437 --> 00:44:14,270 Et ce qu'il fait est il établit, à nouveau, 874 00:44:14,270 --> 00:44:16,300 chiffrement entre vous et le point de terminaison. 875 00:44:16,300 --> 00:44:17,880 >> Même amateur des choses de ce genre. 876 00:44:17,880 --> 00:44:20,000 Donc, certains d'entre vous peut-être déjà se familiariser avec Tor, 877 00:44:20,000 --> 00:44:22,930 qui est ce genre de anonymisation réseau, lequel beaucoup de gens, 878 00:44:22,930 --> 00:44:26,640 si ils courent ce logiciel, route ensuite leur internet 879 00:44:26,640 --> 00:44:27,990 le trafic à travers l'autre. 880 00:44:27,990 --> 00:44:31,460 Ainsi, le point le plus court est non plus entre A et B. 881 00:44:31,460 --> 00:44:35,850 Mais il pourrait être dans le place de sorte que vous êtes essentiellement 882 00:44:35,850 --> 00:44:40,742 une couverture de pistes et laisser moins d'un enregistrement de l'endroit où votre HTTP 883 00:44:40,742 --> 00:44:43,950 trafic est venu, parce que ça va par tout un tas d'autres personnes de 884 00:44:43,950 --> 00:44:45,990 ordinateurs portables ou de bureau, pour le meilleur ou pour le pire. 885 00:44:45,990 --> 00:44:48,180 >> Mais même cela est une chose pas infaillible. 886 00:44:48,180 --> 00:44:51,560 Certains d'entre vous se rappellent peut-dernière année l'alerte à la bombe qui a été appelé. 887 00:44:51,560 --> 00:44:54,662 Et il a été tracée en fin de compte à une utilisateur qui avait utilisé ce réseau ici. 888 00:44:54,662 --> 00:44:57,870 Et les prises là-bas, je le rappelle, est, si il n'y a pas que beaucoup d'autres personnes 889 00:44:57,870 --> 00:45:02,190 en utilisant un logiciel comme ceci ou utiliser ce port et protocole, 890 00:45:02,190 --> 00:45:06,250 il est pas si difficile pour un réseau à même déterminer qui, avec une certaine probabilité, 891 00:45:06,250 --> 00:45:08,950 était en fait anonymat son trafic. 892 00:45:08,950 --> 00:45:12,030 >> Et je ne sais pas si ceux étaient la détails réels en question. 893 00:45:12,030 --> 00:45:15,400 Mais sûrement, se rendre compte que rien de tout ce sont des solutions infaillibles, ainsi. 894 00:45:15,400 --> 00:45:18,820 Et l'objectif aujourd'hui est de moins vous faire réfléchir sur ces choses 895 00:45:18,820 --> 00:45:23,140 et à venir avec les techniques de vous défendre contre eux. 896 00:45:23,140 --> 00:45:28,858 Vous avez des questions sur toutes les menaces qui vous attendent là-bas, et ici? 897 00:45:28,858 --> 00:45:29,358 Ouais? 898 00:45:29,358 --> 00:45:29,858 899 00:45:29,858 --> 00:45:31,793 Public: Comment faire sécurisé nous nous attendons à la moyenne 900 00:45:31,793 --> 00:45:35,210 [? site soit,?] comme le projet de CS50 moyenne? 901 00:45:35,210 --> 00:45:38,530 >> DAVID J. Malan: Le projet de CS50 moyenne? 902 00:45:38,530 --> 00:45:43,190 Il est toujours prouvé que chaque année certains CS50 projets définitifs ne sont pas 903 00:45:43,190 --> 00:45:44,530 particulièrement sécurisé. 904 00:45:44,530 --> 00:45:47,940 Habituellement, il est certain colocataire ou hallmate que les chiffres sur cette 905 00:45:47,940 --> 00:45:51,200 en envoyant des requêtes à votre projet. 906 00:45:51,200 --> 00:45:55,230 >> Answer-- court combien sites sont sécurisés? 907 00:45:55,230 --> 00:45:57,450 Je détecte des anomalies aujourd'hui. 908 00:45:57,450 --> 00:46:00,640 Comme il était juste un hasard que je compris que ce site 909 00:46:00,640 --> 00:46:03,390 Je l'ai été ordonné ces franchement délicieux arrangements de-- 910 00:46:03,390 --> 00:46:05,348 et je ne suis pas sûr que je vais cesser d'utiliser leur site Web; 911 00:46:05,348 --> 00:46:08,030 Je pourrais juste changer mon mot de passe plus regularly-- 912 00:46:08,030 --> 00:46:11,320 On ne sait pas à quel point vulnérables toutes ces various-- 913 00:46:11,320 --> 00:46:12,970 ceci est en fait recouverte de chocolat. 914 00:46:12,970 --> 00:46:16,172 915 00:46:16,172 --> 00:46:19,130 La réponse courte, je ne peux pas répondre à cette effectivement, sauf pour dire qu'il 916 00:46:19,130 --> 00:46:22,150 n'a pas été si difficile pour moi de trouver certains de ces exemples qui viennent 917 00:46:22,150 --> 00:46:24,040 pour les besoins du débat en cours. 918 00:46:24,040 --> 00:46:26,456 Et tout en gardant un œil sur Google Nouvelles et autres ressources 919 00:46:26,456 --> 00:46:29,590 apportera d'autant plus de ce genre de choses à la lumière. 920 00:46:29,590 --> 00:46:32,460 >> Très bien, nous allons conclure avec cette préquelle 921 00:46:32,460 --> 00:46:36,870 que l'équipe de CS50 a préparé pour vous en prévision de la CS50 Hackathon. 922 00:46:36,870 --> 00:46:39,763 Et sur votre chemin dans un moment, fruit sera servi. 923 00:46:39,763 --> 00:46:40,429 [VIDEO LECTURE] 924 00:46:40,429 --> 00:46:43,595 [MUSIQUE Fergie, Q TIP, ET GoonRock, "A Petite fête n'a jamais tué PERSONNE (ALL 925 00:46:43,595 --> 00:46:44,373 WE GOT) »] 926 00:46:44,373 --> 00:48:08,880 927 00:48:08,880 --> 00:48:13,467 >> - [RONFLEMENTS] 928 00:48:13,467 --> 00:48:14,300 [FIN LECTURE VIDÉO] 929 00:48:14,300 --> 00:48:15,420 DAVID J. Malan: Voilà pour CS50. 930 00:48:15,420 --> 00:48:16,544 Nous vous verrons mercredi. 931 00:48:16,544 --> 00:48:20,670 932 00:48:20,670 --> 00:48:25,840 [MUSIQUE - SKRILLEX, "IMMA 'l'essayer"] 933 00:48:25,840 --> 00:51:47,776