DAVID J. Malan: Ceci est CS50, ce qui est le début de la semaine 10. Vous vous souviendrez que nous avons montré sur l'écran, une imprimante 3D, qui est ce dispositif qui prend des bobines de plastique et expulse alors il en le chauffant et la fonte de sorte que nous pouvons ensuite former l'armée de Chang de éléphants, par exemple. 

Donc à Leverett House, si, récemment, je discutais avec un de vos camarades de classe et un ami de Chang nommé Michelle, qui fait un stage à cette autre société de cette dernière année que a une technique différente pour réellement la création d'objets en trois dimensions, comme ce tout petit éléphant ici. En particulier, la façon dont cela fonctionne est qu'il est un exemple de quelque chose appelée stéréolithographie, de sorte que il ya ce bassin de résine ou liquide, et puis un laser frappe que liquide, et peu à peu, le dispositif les ascenseurs et les ascenseurs et ascenseurs de la chose que vous imprimez, comme un éléphant, en tant que liquide devient solide. Le résultat, en fait, est quelque chose qui est beaucoup plus robuste que certains de le plastique des cadeaux certains d'entre vous aurait pu avoir. 

Et ce que Chang gentiment fait pour nous ici est fait un time-lapse aide de photographies au cours d'une heure ou plus, probablement, pour produire ce type ici. Est-ce que quelqu'un qui n'a jamais venu avant voulez venir cliquez sur Start sur cette vidéo? Laissez-moi aller avec, que diriez-vous là-bas. Venez sur place. Bien. Et vous êtes? LUKE: Luc de mon nom [inaudible]. DAVID J. Malan: Salut, Luke. Ravi de vous rencontrer. 

LUKE: Ravi de vous rencontrer. PUBLIC: Il court pour UC. 

DAVID J. Malan: Je sais, nous essayons de ne pas promouvoir. Très bien, alors Luke, tous vous avez à faire ici dans CS50 est sur la barre d'espace imprimer cet éléphant. [VIDEO LECTURE] - [Ronronnement de la machine] - [Crash] - [BOOM] - [Crash] [FIN LECTURE VIDÉO] DAVID J. Malan: Alors qui est exactement à quoi ça ressemble à l'impression 3D. Et voici votre éléphant. Merci pour le bénévolat. Bien. Encore une fois, par le cahier des charges le projet final, ce matériel qui est disponible à vous les gars est, pour une raison quelconque, votre projet a une certaine intersection de logiciels et de matériel, se rendent compte que ce sont maintenant les ressources. 

Je voulais prendre un moment pour toucher sur un article Crimson qui est sorti la nuit dernière, qui était de annoncer que cet homme ici, David Johnson, qui a été le principal précepteur pour Ec 10 depuis un certain temps, quitte à la Harvard fin de l'année scolaire. Et je voulais juste prendre un moment, honnêtement, à remercier David devant CS50. Il a été un mentor de sortes à nous au fil des ans. 

Et je me sens comme nous, CS50, avoir plutôt grandi avec Ec 10 ici, car ils sont juste devant nous. Et lui et toute l'équipe dans Ec 10 a été merveilleusement gracieux, franchement, que nous traînons dans tous nos équipements chaque semaine, et il ya des années, fourni beaucoup des avocats que nous étions curieux de savoir comment ils fonctionnent Ec 10. Donc, nos remerciements et admiration pour David Johnson. 

[Applaudissements] 

Maintenant, unrelatedly, de sorte la fin est tout proche. Nous sommes ici dans la semaine 10. Et nous avons à peine une quelques semaines formelles ici à gauche de classe, suivie par un couple d'événements. Donc, pour vous donner une idée de ce qui est à l'horizon, nous sommes ici aujourd'hui. 

Ce mercredi, le rappel, nous aurons un conférencier invité par nul autre que Propre Steve Ballmer de Microsoft. Si vous avez pas encore allé à cs50.harvard.edu/register, faire, puisque l'espace est limité. Et ils vérifieront ID à la porte ce jour. Si vous n'êtes pas ici la semaine dernière, je pensais que je vous taquiner avec un regard différent à Steve et l'excitation que qui nous attend mercredi. 

[VIDEO LECTURE] 

-Une Passion. 

-Nous Sommes va être hard hardcore--. 

-Innovator. 

-Projet De loi dit, vous ne l'obtenez pas. Nous allons mettre un ordinateur sur chaque bureau et dans chaque foyer, qui est devenu la devise de la société. Je vous jure, le projet de loi a inventé ce soir-là pour me donner vraiment une partie de la vision de pourquoi devrais-je dire oui. Je ne l'ai jamais regardé en arrière, vraiment, après que. 

-frais De collège, il rejoint une start-up naissante et a aidé à grandir dans l'un des l'Amérique la plupart des entreprises qui réussissent jamais. La vie des affaires et les leçons apprises en cours de route le laisser revenir à son passion d'enfance et de l'amour. Et ces expériences ont préparé lui pour son prochain défi dans la vie. 

-Rien Obtient dans notre essor way--! Gardez à venir hard! Aller Clippers! 

-Cette Est Steve Ballmer, "In My Own Words». [FIN LECTURE VIDÉO] DAVID J. Malan: --Ce Mercredi au CS50. Rendez-vous à nouveau à cette adresse ici. Quant à ce que le reste est à l'horizon, la semaine prochaine, pas de cours le lundi. Mais nous suivrons que par questionnaire un mercredi. Aller à la page d'accueil CS50 pour plus de détails sur les personnes, les lieux et les temps pour tous les différents surveillance d'examens logistique, etc., ainsi que sur l'examen sessions qui sont à venir. Et puis, enfin, le lundi, le jour avant la semaine de vacances de Thanksgiving, réaliser ce sera notre dernière conférence. Nous allons servir le gâteau et un grand beaucoup d'enthousiasme, nous l'espérons. 

Maintenant, quelques autres mises à jour. Gardez à l'esprit que le statut rapport, qui est vraiment juste censé être une interaction occasionnel avec votre TF à dire fièrement juste jusqu'à quel point avec votre projet final que vous êtes, ou au moins comme une santé mentale vérifier que vous devriez approcher que signaler peu de temps après. Le Hackathon suit alors que. Réaliser le Hackathon est pas une occasion pour démarrer votre projet final, mais est censé être une occasion à se trouver au milieu de ou vers la fin de votre projet final, avec la mise en œuvre en raison de quelques jours plus tard, suivie par la juste CS50. 

Maintenant, la production de CS50 équipe, il ya quelques années, mettre sur pied un teaser pour la foire de CS50 que nous avons pensé vous montrer aujourd'hui, parce qu'ils ont été à pied d'œuvre sur un prequel pour que, une nouvelle vidéo que nous allons conclure aujourd'hui avec. Mais voici ce qui vous attend pour CS50 la foire de cette année. [VIDEO LECTURE] - [CELL sonnerie de téléphone] [MUSIC "Mission Impossible"] [FIN LECTURE VIDÉO] DAVID J. Malan: Alors qui est exactement comment nous fermons les soumissions de projets finaux. Un couple de maintenant si teasers-- vous souhaitez vous joindre à Nick ici pour le déjeuner, comme d'habitude, ce Vendredi, la tête à cette adresse ici. En outre, si vous souhaitez à se joindre à Nick ou cette Nick ou ce Allison ou toute membres de l'équipe de CS50, ne réaliser que, peu de temps après la fin de terme, CS50 sera déjà recrute pour l'équipe de l'année prochaine, pour les CA, FO, concepteurs, producteurs, chercheurs et d'autres positions qu'ici fonctionner CS50 fois dans devant et derrière les coulisses. Donc, si cela pourrait être d'intérêt pour vous, la tête à cette adresse ici. Et les étudiants plus confortables, moins à l'aise, et quelque part dans sont semblables entre les bienvenus et encouragés à postuler. 

Il était donc un timing parfait qui, sans plaisanterie, ce matin, quand je me suis réveillé, Je devais voir ici spam dans ma boîte de réception. En fait, il a glissé à travers le filtre anti-spam de Gmail en quelque sorte et a fini dans ma boîte de réception réelle. Et il dit: «Cher boîte aux lettres utilisateur, vous êtes actuellement mise à niveau de 4 gigaoctets d'espace. Se il vous plaît vous connecter à votre compte afin de valider E-space ". 

Et puis il ya ce joli bleu lien alléchant il de cliquer sur pour les professeurs et le personnel, qui ensuite m'a amené à une page merveilleusement légitime, qui m'a demandé de leur donner mon nom et adresse e-mail et, bien sûr, mot de passe pour valider qui je suis et ainsi de suite. Mais bien sûr, comme toujours le cas, vous arrivez à cette page d'atterrissage, et bien sûr, il ya au moins une faute de frappe, qui semble être le clou le cercueil de l'un de ces escroqueries. Et nous posterons, peut-être, un autre des liens vers ces types de captures d'écran A l'avenir. Mais espérons-le, la plupart des gens dans cette chambre n'a pas clicked-- ou même si vous avez cliqué Ce type de liaison, vous n'êtes pas allé jusqu'à remplir ces formulaires et ainsi de suite. En fait, il est OK si vous avez. Nous allons essayer de résoudre ce problème aujourd'hui, parce que, En effet, la conversation d'aujourd'hui est sur la sécurité. 

Et en effet, l'un des objectifs ne sont pas CS50 tellement de choses à vous enseigner CE ou PHP ou JavaScript ou SQL ou l'un de ces sous-jacent détails de mise en œuvre. Mais il est pour vous permettre en tant qu'êtres humains juste prendre de meilleures décisions que ce se rapporte à la technologie vers le bas le route de sorte que, si vous êtes un ingénieur ou un humaniste ou scientifique ou tout autre rôle, vous prendre des décisions éclairées sur votre propre usage de l'informatique, ou si vous êtes dans un la position de prise de décision, dans la vie politique, en particulier, vous faites bien, beaucoup de meilleures décisions que un beaucoup d'êtres humains aujourd'hui ont été. Et nous le faisons en moyen de quelques exemples. 

Tout d'abord, je suis plutôt surpris récemment de découvrir la suite. Ainsi, les mots de passe, bien sûr, sont ce que la plupart d'entre nous utiliser pour protéger notre email data--, chat, et toutes sortes de ressources comme ça. Et par un awkward-- pas montrer de mains, mais regards embarrassés de honte, combien d'entre vous utilisent le même mot de passe dans beaucoup de sites différents? 

Oh, OK, alors nous ferons les mains. OK, donc beaucoup de vous faire. Quiconque fait cela, juste pourquoi? Et quoi? Ouais? PUBLIC: Il est facile à retenir, parce que vous ne devez pas vous rappeler [inaudible]. DAVID J. Malan: Ouais, il est facile à retenir. Il est un tout à fait raisonnable, comportement rationnel, même si le risque vous êtes vous-même la mise à dans ces cas est juste une ou plusieurs de ces sites Web est vulnérable au piratage ou à l'insécurité ou votre mot de passe est juste horriblement facile à deviner, tout le monde peut comprendre. Non seulement est un compte compromise, mais en principe, toute comptes que vous avez sur l'internet. Donc, je sais que je pourrais dire aujourd'hui, ne utiliser le même mot de passe partout, mais qui est beaucoup plus facile à dire qu'à faire. Mais il existe des techniques pour atténuer cette préoccupation. 

Maintenant, je me trouve, par exemple, à utiliser un programme appelé 1Password. Un autre populaire est appelée LastPass. Et un tas de CS50 utilisation du personnel un ou plusieurs de ces types d'outils. Et longue histoire courte, une livraison pour aujourd'hui devriez être, oui, vous pourriez avoir le même mot de passe partout, mais il est très facile de faire plus que. Par exemple, ces jours-ci, je sais peut-être l'un de mes dizaines ou des centaines des mots de passe. Tous mes autres mots de passe sont pseudo-aléatoire généré par l'un de ces programmes ici. Et en un mot, et même si la plupart de ces programmes ont tendance à venir avec un peu de coût, vous souhaitez installer un programme comme celui-ci, vous auriez alors stocker tous vos noms d'utilisateur et mots de passe à l'intérieur de ce programme sur votre propre Mac ou PC ou autres joyeusetés, et ensuite il serait cryptées sur votre ordinateur avec ce qui est, espérons-un particulièrement long mot de passe. Je dois donc tout un tas de mots de passe pour les sites Web individuels, et puis je dois vraiment mot de passe long que je utiliser pour déverrouiller tous les autres mots de passe. Et ce qui est bien à propos logiciel de ce genre est que, lorsque vous visitez un site Web qui est demandant votre nom d'utilisateur et mot de passe, ces jours-ci, je ne tape pas dans mon nom d'utilisateur et mot de passe, parce que, encore une fois, je ne sais même pas ce que la plupart de mes mots de passe sont. Je place frappé un clavier raccourci, la suite de quoi est de déclencher ce logiciel pour me demande mon mot de passe maître. Je puis tapez qu'un grand mot de passe dans, puis le navigateur remplit automatiquement en ce que mon mot de passe. Donc, vraiment, si vous prenez rien d'autre loin à partir d'aujourd'hui en termes de mots de passe, ce sont des logiciels qui valent la peine téléchargement ou d'investir dans la que vous pouvez au moins pause cette habitude particulière. Et si vous êtes du genre qui est l'aide post-it ou le like-- et les chances sont au moins l'un de vous est-- cette habitude, aussi, il suffit de dire, doit être cassé. 

Maintenant, je me trouvais à découvrir, à la suite de l'utilisation du logiciel, ce qui suit. Je commandais un arrangement comestibles, ce panier de fruits, récemment. Et je me suis cogné clavier spécial raccourci pour vous connecter au site. Et le logiciel déclenche un pop-up qui dit, êtes-vous sûr vous voulez que je automatiquement soumettre ce nom d'utilisateur et mot de passe? Parce que la connexion est précaire. 

La connexion est pas utilisant le protocole HTTPS, pour sûr, utilisant ce protocole connu sous le nom SSL, Secure Sockets Layer. Et en effet, si vous regardez en haut à gauche de ce site, il est juste www.ediblearrangements.com, pas HTTPS, ce qui est pas si bon. 

Maintenant, je suis peut-être ce curious-- est juste un bug dans le logiciel. Certes, certains sites comme ce que beaucoup d'entre nous connaissent des est au moins en utilisant le cryptage ou des URL HTTPS pour que vous vous connectez. Alors je me suis un peu curieux ce matin. Et je suis sorti de mes compétences CS50, Je me suis ouverte inspecteur Chrome. Il est même pas beaucoup de compétence. Il est juste frappé le clavier droit raccourci pour ouvrir cette place. Et voici une grande fenêtre de l'inspecteur de Chrome. 

Mais ce qui était en fait un peu tragique et ridicule étaient ces deux lignes ici. Au sommet, notez l'URL que mon nom d'utilisateur et mot de passe ont été soumis. Permettez-moi zoom avant. Il était présent ici. Et tout cela est sorte de inintéressant, à l'exception de la chose tout le chemin à la gauche, qui commence par http: //. Et alors, OK, peut-être ils sont juste envoi mon nom d'utilisateur, qui est pas comme un gros problème. Peut-être que mon mot de passe est envoyé plus tard. Ce serait une sorte de intéressant décision de conception. 

Mais Non. Si vous regardez ensuite à la demande charge utile, le nom d'utilisateur et mot de passe Je sent-- et je moqué ces pour la slide-- ont effectivement été envoyés en clair. Alors vous allez à ce site particulier et commander un arrangement comestibles comme ça, et en effet, apparemment, pour tout ce fois que je l'ai été ordonné d'eux, votre nom d'utilisateur et mot de passe se passe de l'autre côté en clair. Donc, honnêtement, cela est tout à fait inacceptable. Et il est si trivial d'éviter les choses comme ce que le concepteur d'un site Web et que le programmeur d'un site Web. 

Mais l'emporter ici pour nous que les utilisateurs de sites Web est à peine à comprendre que tous les Il suffit pour une conception stupide décision, injustifiable décision de conception, de sorte que maintenant, si vous le savez mon mot de passe est "Cramoisi" sur cette site web, vous avez probablement juste obtenu dans tout un tas de autres sites que je dois maintenant. Et il n'y a pas beaucoup de une défense contre cette autre que ce que Chang a fait ce matin. Il est allé à Edible Arrangements, qui est situé dans la rue à Cambridge, et physiquement acheté cela pour nous. Ce fut beaucoup plus sûr que l'utilisation du site dans ce cas. 

Mais le détail de garder un œil sur les est en fait ce qui est dans le navigateur-haut Là. Mais même cela peut être un peu trompeuse. Donc, une autre intéressant exemple et le mode de défense contre this-- et en fait, nous allons ne first-- que la façon de défendre contre cette technique est un que les gens de la sécurité serait appeler authentification à deux facteurs. 

Est-ce que quelqu'un sait ce que la solution à des problèmes tels que cela signifie? Qu'est-ce que l'authentification à deux facteurs? Ou autrement dit, comment beaucoup d'entre vous l'utiliser? OK, donc un couple de personnes timides. Mais oui. Je l'ai vu votre main monter. Qu'est-ce que l'authentification à deux facteurs? 

PUBLIC: Fondamentalement, en plus à taper votre mot de passe, vous avez aussi un secondaire [inaudible] envoyé par SMS sur votre téléphone à la [inaudible]. DAVID J. Malan: Exactement. En plus d'une forme primaire d'authentification, comme un mot de passe, vous êtes invité à fournir un secondaire facteur, qui est typiquement quelque chose que vous avez physiquement sur vous, même si elle peut être tout autre chose. Et cette chose est typiquement un téléphone portable ces jours où vous obtenez envoyé un message texte temporaire qui dit "Votre code d'accès temporaire est 12345." 

Donc, en plus de mon mot de passe "cramoisi" Je également avoir à saisir toute le site m'a envoyé un texto. Ou si vous avez ce avec un banque ou un compte de placement, vous avez parfois ces petits dongles que en fait avoir un pseudo-aléatoire générateur de nombre intégré en eux, mais à la fois l'appareil et la banque savoir ce que votre semence initiale est afin qu'ils sachent, alors même que le peu de code sur votre petit porte-clés marches avant chaque minute ou deux, l'évolution des valeurs, il en va de ce changement de valeur sur le serveur de la banque de sorte qu'ils peuvent de même authentifier vous, non seulement avec votre mot de passe, mais avec ce code temporaire. Maintenant, vous pouvez réellement faire dans Google. Et franchement, cela est une bonne habitude à prendre, surtout si vous utilisez Gmail tout le temps sur un navigateur. Si vous allez à cette URL ici, qui est en les diapositives en ligne aujourd'hui, et puis cliquez sur 2 étapes de vérification, même chose réelle là-bas. Vous serez invité à donner leur votre numéro de téléphone cellulaire. Et puis, chaque fois que vous vous connectez à Gmail, vous serez non seulement demandé votre mot de passe, mais aussi pour un peu de code qui est envoyé à votre téléphone temporairement. Et tant que vous activer les cookies, et tant que vous ne le faites pas explicitement vous déconnecter, vous aurez seulement à faire que de temps en temps, comme quand vous vous asseyez à un nouvel ordinateur. 

Et la hausse, ici aussi, est, si vous s'asseoir à un certain style de cybercafé ordinateur ou une l'ordinateur d'un ami, même si cet ami malicieusement ou sans le savoir a une certaine enregistreur de clavier installé sur son ordinateur, de telle sorte que tout ce que vous type est en cours d'enregistrement, au moins que le deuxième facteur, qui code temporaire, est éphémère. Donc, il ou elle ou celui qui est compromis l'ordinateur ne peut pas se connecter à vous par la suite, même si tout le reste était vulnérable ou même tout en clair. Facebook a cela, aussi, avec cette URL ici, où vous pouvez cliquer sur Connexion approbations. Donc, ici, aussi, si vous ne le faites pas veulent amis pour pousser les gens, vous ne voulez pas être piquer sur Facebook ou de poster des mises à jour de statut pour vous, authentification à deux facteurs ici est probablement une bonne chose. Et puis il ya cette tout autre technique, juste audit, qui est encore une bonne chose pour nous, les humains, si deux facteurs se révèle gênant, qui, Certes, il peut, ou il est tout simplement pas certains sont disponibles sur le site web, minimalement en gardant un œil sur si et quand vous vous connectez à des sites, si elles vous permettre, est une bonne technique, trop. Donc, Facebook vous donne également cette notifications de connexion disposent, par lequel Facebook réalise tout moment, hm, David a connectés à partir de certains ordinateur ou téléphone que nous avons jamais vu avant de une adresse IP qui ressemble inconnu, ils vont au moins vous envoyer un e-mail à ce que l'adresse e-mail vous avez sur le dossier, en disant: ce regard soupçonneux? Si oui, changer votre mot de passe immédiatement. Et donc, là aussi, juste comportement d'audit même après que vous avez été compromis, peut au moins rétrécir la fenêtre pendant qui vous êtes vulnérable. 

Tout droit, des questions sur ce genre de choses jusqu'à présent? Aujourd'hui est le jour pour obtenir tous votre paranoïa confirmée ou infirmée. Cela surtout confirmé, malheureusement. Ouais? 

PUBLIC: [Inaudible] téléphone, si votre téléphone pauses, et puis il est toujours difficile à verify-- 

DAVID J. Malan: Vrai. 

PUBLIC: Ou si vous êtes dans un autre pays, et ils ne vous laissent pas Connectez-vous parce que [inaudible]. DAVID J. Malan: Absolument. Et si ce sont les plus frais que vous engagez. Il ya toujours ce thème d'un compromis, après tout. Et puis, si vous perdez votre téléphone, si ça casse, si vous êtes à l'étranger, ou vous ne disposez pas d'un juste signal comme un signal 3G ou LTE, vous ne pourriez pas réellement être capable d'authentifier. 

Encore une fois, ces deux sont compromis. Et parfois, il peut créer un beaucoup de travail pour vous en tant que résultat. Mais cela dépend vraiment, alors, sur ce que le prix attendu de vous est quelque chose de l'être tout à fait compromise. 

Donc, SSL, puis, est-ce que la technique nous prenons tous généralement pour acquis ou assumer est là, même si qui est clairement pas le cas. Et vous pouvez toujours tromper gens, cependant, même avec cela. Alors, voici un exemple d'une banque. 

Ceci est la Bank of America. Il ya tout un tas de ces à Harvard Square et au-delà. Et remarquez que, au sommet de l'écran, il est un, en effet, le protocole HTTPS. Et il est encore vert et mis en évidence pour nous pour indiquer que tel est bien un site Web sécurisé légitimement, ou si nous avons été formés à croire. 

Maintenant, en plus de cela, cependant, Notez que, si on fait un zoom, il ya cette chose ici, où vous êtes invité à vous connecter. Qu'est-ce que cela signifie cadenas droit là, à côté de mon nom d'utilisateur rapide? Ceci est assez commun sur les sites Web, aussi. Qu'est-ce que cela signifie cadenas? Vous semblez comme vous le savez. 

PUBLIC: Il ne veut rien dire. 

DAVID J. Malan: Il ne veut rien dire. Cela signifie que Bank of America sait à écrire en HTML avec des balises d'image, non? Cela signifie vraiment rien, parce que même on, en utilisant le premier jour de notre apparence à HTML, peut coder une page avec un fond rouge et une image, comme un GIF ou autres joyeusetés, que arrive à ressembler à un cadenas. Et pourtant, ce est super commun dans les sites Web, parce que nous avons été formés pour assumer que, oh, cadenas signifie sécurisé, quand il vraiment signifie simplement que vous connaissez le HTML. 

Par exemple, dans la journée, je pouvais ont vient de mettre cela sur mon site, affirmant qu'il est sécurisé, et demander, effectivement, pour les noms d'utilisateur et mots de passe des gens. Donc, la recherche dans l'URL est au moins une meilleure idée, car qui est intégré dans Chrome ou quel que soit le navigateur que vous utilisez. Mais même alors, parfois les choses peuvent mal se passer. Et en fait, vous ne pourriez pas toujours voir HTTPS, et encore moins en vert. 

Avez-vous déjà l'une des vu un écran comme celui-ci? Vous pourriez avoir, en fait, plus tôt en Octobre, quand je oublié de payer pour notre certificat SSL, comme on l'appelle, et nous étions à la recherche comme ce pour une heure ou deux. Donc, vous avez probablement vu les choses comme ça, avec un barré, comme une ligne rouge, à travers le protocole dans l'URL ou une sorte d'écran qui est au moins vous exhortant pour essayer d'aller plus loin. Et Google ici invite tu retournes à la sécurité. 

Maintenant, dans ce cas, cette voulait juste dire que le certificat SSL que nous utilisons, les grands nombres, mathématiquement utiles qui sont associées avec le serveur CS50, ne sont plus valables. Et en fait, nous pouvons simuler ce, que vous pouvez sur votre ordinateur portable. Si je vais dans Chrome ici, et passons à facebook.com, et il semble que ce soit sécurisé. Mais laissez-moi aller de l'avant maintenant et cliquez sur le cadenas ici. 

Et laissez-moi aller à la connexion, Informations sur le certificat. Et en effet, ce que vous allez voir ici est un groupe de détails de bas niveau sur qui facebook.com est vraiment. Il semble qu'ils ont versé de l'argent à une société appelée peut-être DigiCert haut Assurance qui a promis de dire au reste du monde que, si le navigateur ne voit jamais un certificate-- vous pouvez penser de littéralement comme un certificat ressemble à cette chose de fromage en haut left-- puis facebook.com est bien qui ils disent ils sont, parce que tout ce temps, quand vous visitez un site Web, comme cs50.harvard.edu ou facebook.com ou gmail.com qui utilisent HTTPS URL, dans les coulisses, il ya ce genre de transaction passe automatiquement pour vous, lequel facebook.com, dans ce cas, envoie à votre navigateur de son soi-disant certificat SSL, ou plutôt, sa clé publique, et puis votre navigateur utilise cette clé publique à envoyer ensuite crypté le trafic vers et à partir de lui. 

Mais il ya toute cette hiérarchie dans le monde des entreprises que vous payez de l'argent à qui sera puis témoigner, dans un sens numérique, que vous êtes bien facebook.com ou votre serveur est en effet cs50.harvard.edu. Et intégré dans les navigateurs, comme Chrome et IE et Firefox, est une liste de tous ceux soi-disant autorités de certification qui sont autorisés par Microsoft et Google et Mozilla pour confirmer ou nier que facebook.com est bien celui qu'il prétend être. Mais le hic est que ces choses ne sont plus valables. En fait, de Facebook ressemble il expire Octobre prochain, en 2015. 

Nous pouvons donc simuler ce si je aller dans mon Mac à mes Préférences Système, et je vais en date et l'heure, et Je vais dans Date et heure ici, et je déverrouiller ce ici-- heureusement, nous ne révélons pas un mot de passe cette time-- et maintenant je descends de décocher cette. Et nous allons actually-- oups, pas aussi intéressant que faire. Nous sommes littéralement à l'avenir maintenant, ce qui signifie est que 2020 est comme. Si je recharge maintenant la page-- faisons-le dans Ingognito mode-- si je recharge la page, là nous allons. 

Alors maintenant, mon ordinateur pense il est 2020, mais mon navigateur sait que ce certificat de Facebook expire, bien sûr, en 2015. Donc, il me donne ce message rouge. Maintenant, heureusement, les navigateurs comme Chrome avoir fait fait assez difficile à procéder de même. Ils veulent en effet me pour revenir à la sécurité. 

Si je clique ici sur Advance, il est allez me dire encore plus de détails. Et si je veux vraiment de procéder, ils vont laisser moi aller à facebook.com, qui est, nouveau, dangereux, à quel point Je vais voir la page d'accueil de Facebook, comme ça. Mais alors d'autres choses semble être la rupture. Qu'est-ce qui probablement casser à ce point? PUBLIC: JavaScript. DAVID J. Malan: Comme le JavaScripts et / ou CSS fichiers sont de même rencontrer cette erreur. Donc, ceci est juste une mauvaise situation générale. Mais le point ici est que au moins Facebook a en effet SSL activé pour leurs serveurs, comme de nombreux sites Web, faire, mais pas nécessairement tous. 

Mais cela ne l'emporter seul ici. Avère que même SSL il a été démontré en insécurité en quelque sorte. Donc, je suis en quelque sorte de insinuant que SSL, bon. Recherchez des URL HTTPS, et la vie est bon, parce que tout votre trafic HTTP et les en-têtes et le contenu sont cryptées. 

Personne ne peut l'intercepter dans la milieu, sauf pour un soi-disant homme au milieu. Ceci est une technique générale dans le monde de la sécurité connue comme une attaque man-in-the-middle. Supposons que vous êtes ce petit ordinateur portable ici sur la gauche, et supposons que vous essayez de visiter un serveur là-bas sur la droite, comme facebook.com. 

Mais supposons que, dans entre vous et Facebook, est tout un tas d'autres serveurs et équipement, comme les commutateurs et les routeurs, serveurs DNS, serveurs DHCP, dont aucune ne nous contrôlons. Il peut être contrôlé par Starbucks ou Harvard ou Comcast ou similaire. Eh bien, supposons que quelqu'un malicieusement, sur votre réseau, entre vous et Facebook, est en mesure de vous dire que, vous savez quoi, l'adresse IP de Facebook est pas ce que vous pensez qu'elle est. Il est cette adresse IP à la place. 

Et si votre navigateur est trompé en demandant la circulation d'un autre tout ordinateur. Eh bien, supposons que l'ordinateur regarde simplement à tous du trafic que vous vous demandez de Facebook et l'ensemble des pages Web que vous demandez de Facebook. Et chaque fois qu'il voit dans votre trafic une URL qui commence par https, dynamiquement, sur la voler, réécrit comme HTTP. Et chaque fois qu'il voit un emplacement tête, l'emplacement du côlon, comme nous utilisons pour rediriger l'utilisateur, celles-ci aussi, peut être modifié par cet homme dans le milieu de HTTPS à HTTP. 

Ainsi, même si vous vous pourrait Vous pensez que vous êtes le vrai Facebook, il est pas si difficile pour un adversaire avec un accès physique à votre réseau simplement retourner pages vous que ressembler à Gmail, qui ressembler à Facebook, et en effet l'URL est identique, parce qu'ils sont prétendre avoir le même nom d'hôte parce que d'une certaine exploitation de DNS ou un autre système de ce genre. Le résultat est donc que nous, les humains pourraient seulement se rendre compte que, OK, cela ressemble Gmail ou au moins l'ancienne version, comme cette diapositive à partir de une présentation plus. Mais il semble que this-- http://www.google.com. 

Donc, là aussi, la réalité est que la façon dont beaucoup d'entre vous, quand vous allez à Facebook ou Gmail ou tout site Web et vous savez un petit quelque chose sur SSL, combien d'entre vous physiquement taper https: // et puis le site Nom, entrez. La plupart d'entre nous il suffit de taper, comme, CS50, appuyez sur Entrée, ou F-A pour Facebook et appuyez sur Entrée, et laissez l'auto-complétion. Mais dans les coulisses, si vous regardez votre trafic HTTP, il ya probablement tout un tas de ces en-têtes de localisation qui vous envoient de Facebook www.facebook.com à à https://www.facebook.com. 

Voilà donc un ou plusieurs transactions HTTP où votre information est complètement envoyé en clair, pas de cryptage que ce soit. Maintenant, cela pourrait ne pas être une grande traiter si tout ce que vous essayez de faire est l'accès la page d'accueil, vous n'êtes pas envoyer votre nom d'utilisateur et mot de passe. Mais qu'est-ce-dessous le capot, en particulier pour les sites web en PHP qui est également être envoyés avant et en arrière lorsque vous visitez certaines page web si que les utilisations du site Web, par exemple, PHP et met en œuvre des fonctionnalités comme pset7? Quel a été envoyé avant et en arrière dans vos en-têtes HTTP qui vous a donné l'accès à cette jolie Super utile mondial en PHP? 

PUBLIC: Biscuits. 

DAVID J. Malan: cookies, spécifiquement le PHP sess ID cookie. Donc, rappeler, si nous allons à, par exemple, cs50.harvard.edu nouveau, mais cette fois, nous allons ouvrir le onglet Réseau, et maintenant, ici, nous allons littéralement juste aller à http://cs50.harvard.edu puis appuyez sur Entrée. Et puis regarder l'écran vers le bas ici. Notez que nous avons fait arrière un 301 déplacés de façon permanente un message, ce qui signifie que il ya un en-tête de l'emplacement ici, qui est maintenant me rediriger vers HTTPS. 

Mais le hic est que, si je l'ai déjà eu un cookie gravé sur ma main pratiquement, comme nous l'avons évoqué précédemment, et Je le genre humain de le savoir il suffit de visiter la précarité la version, et mon navigateur prend sur lui-même pour montrer que timbre de main pour la première demande, qui se fait via HTTP, un homme au milieu, tout adversaire au milieu, peut théoriquement juste voir ces en-têtes HTTP, juste comme on cherche à les ici. Il est seulement une fois que vous êtes parler à un HTTPS URL ne ce timbre de main se rendre crypté, à la César ou Vigenère, mais avec un algorithme amateur tout à fait. Donc, là aussi, même si sites Web utilisent le protocole HTTPS, nous, les humains ont été conditionnés, merci aux techniques de l'auto-complétion et d'autres, de ne même pas penser à les implications potentielles. Maintenant, il ya des façons de contourner cela. Par exemple, beaucoup les sites Web peuvent être configurés de sorte que, une fois que vous avez cette main timbre, vous pouvez dire au navigateur, ce timbre de main est seulement pour les connexions SSL. Le navigateur ne doit pas présenter il à moi si cela est sur SSL. Mais de nombreux sites Web ne vous embêtez pas avec qui. Et de nombreux sites Web apparemment même pas la peine de SSL du tout. 

Donc, pour en savoir plus sur qui, il ya en fait même plus de saleté dans cette présentation qu'un autre a donné à un soi-disant noir conférence de chapeau il ya quelques années, où il ya encore autre malices personnes ont utilisé. Vous pouvez rappeler ce notion d'une favicon, ce qui est comme un petit logo qui est souvent dans la fenêtre du navigateur. Eh bien, ce qui a été fréquent chez les méchants est à faire des icônes Fab qui ressemblent à quoi? PUBLIC: [inaudible]. DAVID J. Malan: répète? Audience: Les sites Web. DAVID J. Malan: Pas un site Web. Donc favicon, minuscule icône. Quel serait le plus malveillant, chose manipulatrice vous pouvez faire votre site web icône par défaut ressembler? PUBLIC: Un blocage vert. DAVID J. Malan: Qu'est-ce que? PUBLIC: Un petit cadenas vert. DAVID J. Malan: Comme un blocage vert, exactement. Ainsi, vous pouvez avoir cette esthétique d'un petit cadenas vert, faisant allusion au monde, oh, nous sommes assurer, lorsque, encore une fois, tout cela signifie est que vous savez du HTML. Donc, le détournement de session se réfère à exactement cela. Si vous avez quelqu'un qui est une sorte de renifler les ondes dans cette salle ou a un accès physique à un réseau et peuvent voir vos cookies, il ou elle peut saisir que ID cookie de PHP. Et puis, si elles sont suffisamment de bon sens pour savoir comment envoyer ce cookie comme leur propre timbre de main juste en copiant cette valeur et l'envoi des en-têtes HTTP, quelqu'un pourrait très facilement se connecter à l'un des Facebook comptes ou comptes Gmail ou comptes Twitter qui sont ici, ouverts dans la salle, si vous ne l'utilisez SSL et si le site est ne pas utiliser correctement SSL. 

Donc, nous allons transition à une autre. Donc, une autre histoire vraie. Et ce juste cassé dans la nouvelles il ya une semaine ou deux. Verizon a fait une chose très mal, et que les meilleures personnes peuvent dire, depuis au moins 2012, selon laquelle, lorsque vous accédez à des sites Web via un Verizon téléphone portable, quel que soit le fabricant, il est, ils ont été présomptueusement, comme l'histoire, injecter dans l'ensemble de votre HTTP trafic de leur propre en-tête HTTP. Et que tête regards comme this-- X-UIDH. UID est comme un unique, identifiant ou l'ID utilisateur. Et X signifie simplement ceci est une coutume tête qui est pas standard. 

Mais ce que cela signifie est que, si je tire, par exemple, un site Web sur mon téléphone ici-- et je suis sur que mon Verizon carrier-- même si mon navigateur peut-être pas soit l'envoi de cette HTTP en-tête, Verizon, dès lorsque le signal atteint leur tour de téléphonie cellulaire, quelque part, a été pendant un certain temps l'injection de ce tête dans l'ensemble de notre trafic HTTP. Pourquoi font-ils cela? Probablement pour des raisons de suivi, pour des raisons de publicité. 

Mais la décision de conception débile ici est que l'en-tête HTTP, comme vous savez les gars de pset6, est reçu par un serveur Web que vous demandez trafic de. Donc, tout ce temps, si vous avez été en visite Facebook ou Gmail ou tout autre site cela ne veut pas utiliser SSL tout moment-- et en fait, celles deux heureusement do-- maintenant mais d'autres sites Web qui ne pas utiliser SSL tout le temps, Verizon a essentiellement été plantation, de force, un timbre de la main sur l'ensemble de notre mains que même nous ne voyons pas, mais plutôt, les sites finaux font. Et il n'a pas été que difficile pour quiconque sur Internet l'exécution d'un serveur Web pour réaliser, ooh, ce David, ou, ooh, cela est Davin, même si nous sommes rigoureux sur l'effacement nos cookies, car il ne vient pas de nous. Ça vient de la porte. 

Ils font une recherche sur votre numéro de téléphone et puis dire, oh, ce David. Permettez-moi d'injecter un identifiant unique que nos annonceurs ou celui qui peut garder une trace de cela. Donc, cela est effectivement très, très, très mauvaise et horrible. Et je voudrais vous encourager à jetez un oeil, par exemple, à cette adresse, que je déclinent En fait, je essayé ce matin. Je l'ai écrit un petit script, mettre à cette URL, visité avec mon propre Verizon téléphone portable après avoir Wi-Fi désactivé. Donc, vous devez activer le Wi-Fi désactivé afin que vous utilisez 3G ou LTE ou similaire. Et puis, si vous visitez cette URL, tout ce script fait pour vous les gars, si vous voulez jouer, est-il crache ce que en-têtes HTTP votre téléphone envoie à notre serveur. Et je réellement, en toute équité, fait pas voir ce matin, qui me fait penser soit local tour de téléphonie cellulaire, je suis connecté à ou quoi ne le fait pas, ou qu'ils ont reculé de le faire temporairement. Mais pour plus d'informations, à la tête de cette URL ici. 

Et maintenant, à ce this-- comique peut avoir du sens. Non? D'accord. Bien. Ce sont morts. Bien. 

Donc, nous allons jeter un oeil à un couple de plus attaques, si seulement pour sensibiliser et ensuite offrir un couple les solutions possibles de sorte que vous êtes d'autant plus conscient. Ce dont nous avons parlé l'autre jour, mais n'a pas donné de nom. Il est une demande falsification cross-site, qui est une façon élégante de dire excessivement vous inciter un utilisateur à cliquer sur une URL de ce genre, qui les astuces dans certains comportements qui ils avaient pas l'intention. 

Dans ce cas, il semble pour essayer de me tromper dans la vente de mes actions de Google. Et ce sera un succès si I, le programmeur de pset7, ont pas encore fait quoi? Ou plutôt, plus généralement, dans ce cas suis-je vulnérable à une attaque si quelqu'un trucs un autre utilisateur en cliquant sur une URL comme ça? Ouais? 

Public: Vous ne distinguez pas entre GET et POST. 

DAVID J. Malan: Bon. Si nous ne distinguons pas entre GET et POST, et en effet, si nous permettons GET pour vendre des choses, nous invitons ce genre d'attaque. Mais nous pourrions encore atténuer quelque peu. Et je l'ai commenté, je pense, la semaine dernière que l'Amazone au moins tente d'atténuer ce avec une technique qui est assez simple. Que serait une chose intelligente à faire sur votre serveur, plutôt que de la vente à l'aveuglette quel que soit le symbole des types d'utilisateurs en? PUBLIC: Confirmation de toutes sortes? DAVID J. Malan: Un écran de confirmation, quelque chose qui implique l'interaction humaine de sorte que je suis obligé de faire appel du jugement, même si je l'ai naïvement cliqué un lien qui ressemble à ceci et me conduit à l'écran de la cellule, à moins m'a demandé de confirmer ou de nier. Mais pas une attaque rare, surtout dans ce qu'on appelle le phishing ou de spam comme attaques. 

Maintenant, celui-ci est un peu plus subtile. Ceci est une attaque de script inter-sites. Et ce qui se passe si votre site ne utilise pas l'équivalent de htmlspecialchars. Et cela prend d'entrée de l'utilisateur et juste aveuglément l'injecter dans une page web, comme avec impression ou écho, with-- again-- à appeler quelque chose comme htmlspecialchars. 

Supposons donc que le site en question est vulnerable.com. Et si elle accepte un paramètre appelé q. Regardez ce qui pourrait arriver si je fait, un mauvais gars, taper ou inciter un utilisateur à visite d'une URL qui ressemble à this-- q = balise script ouvert, fermé balise script. Et encore, je suppose qui est non vulnerable.com va devenir dangereux personnages comme parenthèses ouvertes en entités HTML, le esperluette, L-T, chose virgule que vous avez pu voir auparavant. 

Mais ce qui est le script ou du code JavaScript Je suis en train de tromper un utilisateur dans l'exécution? Eh bien, document.location référence à l'adresse actuelle de mon navigateur. Donc, si je fais document.location =, cela me permet de rediriger l'utilisateur en JavaScript à un autre site Web. Il est comme notre fonction PHP réorienter, mais fait en JavaScript. 

Où suis-je en train d'envoyer à l'utilisateur? Eh bien, apparemment, badguy.com/log.php, qui est un script, apparemment, le méchant a écrit, qui prend un paramètre appelé cookie. 

Et remarquez, que dois-je semble être la concaténation sur l'extrémité de ce signe égal? Eh bien, quelque chose qui dit document.cookie. Nous avons pas parlé. Mais il se trouve, dans JavaScript, comme dans PHP, vous pouvez accéder à tous les témoins que votre navigateur utilise réellement. 

Ainsi, l'effet de celui-ci ligne de code, si un utilisateur est trompé en cliquant sur ce lien et le site ne vulnerable.com échapper avec htmlspecialchars, est que vous avez juste efficace téléchargé à log.php tous vos cookies. Et pas toujours que problématique, sauf si l'un de ces témoins est votre ID de session, votre dite tampon à main, qui signifie badguy.com peut faire son propre les requêtes HTTP, l'envoi de cette même main timbre, la même tête de cookie, et se connecter à tout ce site que vous visitiez, qui en ce cas est vulnerable.com. Il est un cross-site scripting attaque dans le sens que vous sorte de ruse un seul site à raconter un autre site sur des informations il ne doit pas, en fait, avoir accès. 

Très bien, prêt pour un autre détail inquiétant? Très bien, le monde est un endroit effrayant, légitimement. Voici un simple, Exemple JavaScript qui est dans le code source d'aujourd'hui appelé géolocalisation 0 et 1. Et il ya un couple soluces en ligne pour cela. 

Et il ne la suit si je ouvrir cette page Web dans Chrome. Il fait d'abord rien. OK, nous allons essayer encore une fois. Oh. Non, il faut faire quelque chose. OK, d'attendre. 

Essayons une fois de plus. [Inaudible] Ah, OK, ne sais pas pourquoi the-- oh, l'appareil probablement perdu internet accès pour une raison quelconque. Tout droit, arrive donc à moi aussi. 

Très bien, alors avis ce qui se passe ici. Cet aspect cryptique URL, qui est juste l'un des serveur CS50, veut utiliser mon ordinateur de emplacement, comme physiquement cela signifie. Et si, en effet, je clique sur Permettre, nous allons voir ce qui se passe. Apparemment, ceci est mon latitude actuelle et coordonne longitudinal vers le bas à une sacrément bonne résolution. 

Alors, comment ai-je à cela? Comment fonctionne ce site, comme serveur CS50, connaître physiquement où dans le monde Je suis, encore moins avec cette précision. Eh bien, tourne out-- Disons simplement regarder la source-- de la page qui ici est un tas de HTML à le fond qui comporte des premier this-- body onload = "géolocaliser" - juste une fonction je l'ai écrit. 

Et je dis, sur le chargement la page, appelez Géolocaliser. Et puis il n'y a rien dans le corps, parce que dans la tête de la page, remarquerez que je dois ici. Voici ma fonction de Géolocalisez. Et cela est juste une erreur checking-- si le type de navigator.geolocation est non défini. Donc JavaScript a cette mécanisme où vous peut dire, quelle est la type de cette variable? Et si ça ne undefined-- ce qui signifie qu'il est certain value-- Je vais appeler navigator.geolocation.getCurrentPosition et puis rappel. 

Qu'est-ce que ce est ça? Donc, en général, ce qui est un rappel, juste pour être clair? Vous pourriez avoir rencontré ce déjà dans pset8. Rappel est un générique terme pour faire quoi? On se sent comme juste moi aujourd'hui. PUBLIC: [inaudible]. DAVID J. Malan: Exactement, une fonction qui devrait être appelé que si nous disposons de données. Cet appel au navigateur, obtenir mon courant poste, pourrait prendre une milliseconde, il peut prendre une minute. Ce que cela signifie est que nous disons la méthode get getCurrentPosition, appeler cette fonction de rappel, qui je rappel littéralement nommé pour plus de simplicité, qui apparemment est celui-là. 

Et la façon dont fonctionne getCurrentPosition, simplement en lisant la documentation pour un peu de code JavaScript en ligne, est qu'il appelle cette soi-disant rappel fonction, passe en un objet JavaScript, à l'intérieur de laquelle est .coords.latitude et .coords.longitude, qui est exactement comment, alors, quand je rechargé cette page Je pouvais voir ma position ici. Maintenant, au moins il y avait une défense ici. Avant je suis allé cette page quand elle a effectivement travaillé, qu'est-ce que je au moins incité pour? 

PUBLIC: [inaudible]. 

DAVID J. Malan: Oui ou no-- faire vous souhaitez autoriser ou refuser cela? Mais penser, aussi, sur les habitudes vous les gars ont probablement adopté, à la fois sur votre téléphone et de vos navigateurs. Beaucoup d'entre nous, moi-même inclus, sont probablement assez prédisposés ces vous days-- voir un pop-up, entrez simplement, OK, approuver, Autoriser. Et de plus en plus, vous pouvez mettre vous à risque pour ces raisons. 

Donc, en fait, il y avait cette merveilleuse bug quelques années ago-- ou manque de feature-- que iTunes avait il ya quelques années, de sorte que, si vous aviez un téléphone cellulaire, et il était un iPhone, et vous avez quitté votre maison et donc voyagé à travers le monde ou le quartier, tout ce temps, votre téléphone enregistrait Où que vous soyez via GPS. Et cela est effectivement divulguée, et les gens attendent ce genre de maintenant. Votre téléphone sait où vous êtes. Mais le problème était que, lorsque vous sauvegardez votre téléphone à iTunes-- ce fut avant les jours de iCloud, ce qui est mieux pour ou pour worse-- les données étaient stockées dans iTunes, complètement clair. Donc, si vous avez une famille ou vos colocataires ou un voisin malveillant qui est curieux de littéralement tous les GPS coordonnez vous avez jamais été à, il ou elle pourrait tout s'asseoir sur iTunes, exécutez un logiciel qui a été librement disponibles, et des cartes de produire ce genre. 

En fait, ce que je produit de mon propre téléphone. Je l'ai branché. Et il semble que, sur la base sur les points bleus là-bas, qui est où la plupart des les coordonnées GPS étaient connecté par iTunes que je était dans le nord-il. Mais je apparemment voyagé à travers un peu, même dans le Massachusetts. 

Voilà donc le port de Boston là, sur la droite. Voilà genre de Cambridge et Boston, où il est plus sombre. Et de temps en temps, je courrais courses à une géographie plus. 

Mais iTunes, pendant des années, avait, comme le meilleur Je pourrais dire, toutes ces données sur moi. Vous pourriez dire que, cette année, je suis en fait voyage beaucoup entre Boston et New York, aller et retour et d'avant en arrière. Et en effet, ceci est moi sur Amtrak, dos et-vient, d'avant en arrière, un peu. Tout cela a été d'être connecté et stockées sous forme cryptée sur mon ordinateur pour tous ceux qui pourraient avoir accès à mon ordinateur. 

Ce fut inquiétant. Je ne sais pas pourquoi je suis en Pennsylvanie ou pourquoi Mon téléphone a été en Pennsylvanie, apparemment assez dense. Et puis, finalement, je regardais à mon Gcal, et, oh, je visité CMU, Carnegie Mellon, à l'époque. Et ouf, ce genre de expliqué que blip. Et puis, si vous zoomez à plus, vous pouvez Je vois visité San Francisco une ou plusieurs fois, puis, et même d'avoir une escale dans ce Je pense est Vegas, là-bas. Donc, tout juste un this-- escale à l'aéroport. 

PUBLIC: [Rires] 

Donc, ceci est seulement pour dire que ces problèmes, honnêtement, sont omniprésents. Et il se sent seul de plus en plus comme il ya de plus en plus de celle-ci étant décrits, qui est probablement une bonne chose. Je crois pouvoir dire, le monde est pas aggravation au logiciel d'écriture. Nous nous améliorons, espérons-le, à aperçoive à quel point certains logiciels est que nous utilisons. Et heureusement, certains les entreprises commencent être tenu responsable pour cela. 

Mais quels types de défenses pouvez-vous avoir à l'esprit? Ainsi, en plus des gestionnaires de mots de passe, comme 1Password et LastPass et autres, mais pas seulement changer vos mots de passe et à venir avec les aléatoires en utilisant un logiciel comme que, vous pouvez aussi essayer mieux que vous pouvez pour chiffrer tout votre trafic pour au moins restreindre la zone de menace. Ainsi, par exemple, en tant que filiales de Harvard, vous pouvez tous aller à vpn.harvard.edu et vous connecter avec votre ID de Harvard et le code PIN. Et ce sera d'établir un environnement sécurisé connexion entre vous et Harvard. 

Maintenant, cela ne veut pas vous protège pas nécessairement contre les menaces qui sont entre Harvard et Facebook ou Harvard et Gmail. Mais si vous êtes assis dans un aéroport ou vous êtes assis dans un Starbucks ou vous êtes assis à la place d'un ami, et on n'a pas vraiment confiance en eux ou leur configuration de leur routeur de la maison, au moins vous pouvez établir une connexion sécurisée à une entité aiment ce lieu qui est probablement un peu mieux sécurisé que quelque chose comme un Starbucks ou similaire. Et ce qu'il fait est il établit, à nouveau, chiffrement entre vous et le point de terminaison. 

Même amateur des choses de ce genre. Donc, certains d'entre vous peut-être déjà se familiariser avec Tor, qui est ce genre de anonymisation réseau, lequel beaucoup de gens, si ils courent ce logiciel, route ensuite leur internet le trafic à travers l'autre. Ainsi, le point le plus court est non plus entre A et B. Mais il pourrait être dans le place de sorte que vous êtes essentiellement une couverture de pistes et laisser moins d'un enregistrement de l'endroit où votre HTTP trafic est venu, parce que ça va par tout un tas d'autres personnes de ordinateurs portables ou de bureau, pour le meilleur ou pour le pire. 

Mais même cela est une chose pas infaillible. Certains d'entre vous se rappellent peut-dernière année l'alerte à la bombe qui a été appelé. Et il a été tracée en fin de compte à une utilisateur qui avait utilisé ce réseau ici. Et les prises là-bas, je le rappelle, est, si il n'y a pas que beaucoup d'autres personnes en utilisant un logiciel comme ceci ou utiliser ce port et protocole, il est pas si difficile pour un réseau à même déterminer qui, avec une certaine probabilité, était en fait anonymat son trafic. 

Et je ne sais pas si ceux étaient la détails réels en question. Mais sûrement, se rendre compte que rien de tout ce sont des solutions infaillibles, ainsi. Et l'objectif aujourd'hui est de moins vous faire réfléchir sur ces choses et à venir avec les techniques de vous défendre contre eux. Vous avez des questions sur toutes les menaces qui vous attendent là-bas, et ici? Ouais? Public: Comment faire sécurisé nous nous attendons à la moyenne [? site soit,?] comme le projet de CS50 moyenne? 

DAVID J. Malan: Le projet de CS50 moyenne? Il est toujours prouvé que chaque année certains CS50 projets définitifs ne sont pas particulièrement sécurisé. Habituellement, il est certain colocataire ou hallmate que les chiffres sur cette en envoyant des requêtes à votre projet. 

Answer-- court combien sites sont sécurisés? Je détecte des anomalies aujourd'hui. Comme il était juste un hasard que je compris que ce site Je l'ai été ordonné ces franchement délicieux arrangements de-- et je ne suis pas sûr que je vais cesser d'utiliser leur site Web; Je pourrais juste changer mon mot de passe plus regularly-- On ne sait pas à quel point vulnérables toutes ces various-- ceci est en fait recouverte de chocolat. La réponse courte, je ne peux pas répondre à cette effectivement, sauf pour dire qu'il n'a pas été si difficile pour moi de trouver certains de ces exemples qui viennent pour les besoins du débat en cours. Et tout en gardant un œil sur Google Nouvelles et autres ressources apportera d'autant plus de ce genre de choses à la lumière. 

Très bien, nous allons conclure avec cette préquelle que l'équipe de CS50 a préparé pour vous en prévision de la CS50 Hackathon. Et sur votre chemin dans un moment, fruit sera servi. [VIDEO LECTURE] [MUSIQUE Fergie, Q TIP, ET GoonRock, "A Petite fête n'a jamais tué PERSONNE (ALL WE GOT) »] 

- [RONFLEMENTS] [FIN LECTURE VIDÉO] DAVID J. Malan: Voilà pour CS50. Nous vous verrons mercredi. [MUSIQUE - SKRILLEX, "IMMA 'l'essayer"]