DAVID J. MALAN: Ez CS50, és ez a kezdete a 10. héten. Talán emlékszik rá, hogy mi már látható A képernyőn a 3D-s nyomtató, amely ez a készülék, amely veszi cséve műanyag majd sajtolja azt melegítéssel fel és olvad be, hogy mi is akkor alkotják Chang serege elefántok, például. 

Tehát Leverett House, bár az utóbbi időben, én volt beszélgetni egyik osztálytársai és a barátja Chang nevű Michelle, aki valójában internálták a másik társaság az elmúlt évben egy másik technika, a tényleges létrehozása háromdimenziós tárgyak, mint ez az apró kis elefánt itt. Különösen, ahogy ez működik az, hogy ez egy példa valami nevű sztereolitográfia, amely itt van ez a medence gyanta vagy folyékony, és azután egy lézeres üt hogy folyékony, és fokozatosan, a készülék felvonók és liftek és felvonók a dolog hogy a nyomtatáshoz használt, mint egy elefánt, mint a folyékony megszilárdul. És az eredmény, valóban, van valami, ami sokkal erőteljesebb, mint a néhány műanyag ajándékot néhányan lehetett volna. 

És milyen kedves Chang tett értünk itt volt nem egy time-lapse fényképek csatolásával során egy óra vagy annál több, talán, hogy készítsen ez a fickó itt. Vajon valaki, aki soha nem jön fel, mielőtt mint hogy jöjjön hit Start ezt a videót? Hadd menjen, mi a helyzet ott. Gyere fel. Rendben van. És te? Lukács: A nevem Luke [hallható]. DAVID J. MALAN: Szia, Luke. Örülök, hogy megismerhetem. 

LUKE: Örülök, hogy találkoztunk. KÖZÖNSÉG: Ő fut az UC. 

DAVID J. MALAN: Tudom, próbálunk ne támogassák. Rendben, Luke, minden meg kell csinálni itt CS50 megüt a szóköz nyomtatni az elefánt. [VIDEO LEJÁTSZÁS] - [MACHINE búgó] - [CRASH] - [BOOM] - [CRASH] [END VIDEO LEJÁTSZÁS] DAVID J. MALAN: Annak érdekében, hogy pontosan milyen érzés a 3D nyomtatás. És itt van a elefánt. Köszönöm, hogy önként. Rendben van. Tehát ismét, egy a specifikációja a végleges projekt, ez a hardver, ami álló srácok van, valamilyen oknál fogva, A projekt egyes kereszteződés A szoftver és a hardver, észre, hogy ezek már forrásokat. 

Azt akartam, hogy egy pillanatra megérinteni után egy Crimson cikket, hogy jött ki késő este, ami az volt, hogy be, hogy ez a fickó itt, David Johnson, aki volt a vezető tanító számára Ec 10 jó ideje, elhagyja a Harvard végén a tanév. És én csak azt akartam, hogy hogy egy pillanat, őszintén, megköszönni David előtt CS50. Ő volt a mentora fajta nekünk az évek során. 

És úgy érzem, mi, CS50, meg inkább nőtt fel Ec 10 itt, mert igazuk van előttünk. És ő és az egész csapat Ec A 10 volt csodálatosan kegyes, őszintén szólva, ahogy húz az összes felszerelésünk minden héten, és évekkel ezelőtt, feltéve sokat A tanácsot, mint mi voltunk kíváncsi, hogy hogyan működnek Ec 10. Így a köszönet és csodálat David Johnson. 

[Taps] 

Most, unrelatedly, így a végén valóban közel. Azért vagyunk itt, a 10. héten. És csak most a Pár héttel a hivatalos itt az osztályban maradt, majd egy pár az események. Tehát, hogy az Ön egyfajta mi a láthatáron, itt vagyunk ma. 

Ez a szerda, visszahívás, mi lesz a vendég előadás nem más, mint A Microsoft saját Steve Ballmer. Ha már nem ment cs50.harvard.edu/register, Ehhez, mivel a hely korlátozott lesz. És lesznek ellenőrzése Azonosítók az ajtót ezen a napon. Ha nem itt a múlt héten, azt gondoltam ugratni egy másik pillantást Steve és az izgalom, hogy vár ránk szerdán. 

[VIDEO LEJÁTSZÁS] 

-Passion. 

-We're Lesz hardcore-- kemény. 

-Innovator. 

-Bill Azt mondta, ha nem kap meg. Megyünk, hogy egy számítógép minden asztalon és minden otthonban, ami lett a mottója a társaság. Esküszöm, Bill kitalálták aznap este, hogy igazán ad nekem néhány elképzelés Ezért azt kell mondanom, hogy igen. Soha nem nézett vissza, tényleg, ezt követően. 

-Friss Az iskolát, ő csatlakozott fiatal startup és segített, hogy nő az egyik amerikai legsikeresebb vállalkozások valaha. Az élet és az üzleti tanulságok az út mentén hadd vissza a gyermekkori szenvedély és a szeretet. És ezek a tapasztalatok elő neki a következő kihívás az életben. 

-Semmi Kap a mi way-- bumm! Jönnek kemény! Go Clippers! 

-Ez Steve Ballmer, "In My Own Words.:" [END VIDEO LEJÁTSZÁS] DAVID J. MALAN: --this Szerdától CS50. Menj ismét erre az URL itt. Ami a mi van a láthatáron, jövő héten, nincs előadás hétfőn. De mi lesz a következő, hogy a a kvíz egy szerdán. Ugrás erre CS50 honlapján a részleteket az emberek, helyek és idők az összes különböző proctoring logisztika és hasonlók, valamint körülbelül felülvizsgálat ülések, amelyek közelgő. És akkor, végül, hétfőn, a nap mielőtt a héten Hálaadás szünet, észre, ez lesz a mi utolsó előadás. Mi fog szolgálni torta és egy nagy sok izgalom, reméljük. 

Most egy pár más frissítéseket. Ne feledje, hogy a helyzet jelentés, ami tényleg csak jelentette hogy egy alkalmi kölcsönhatás Ön TF büszkén állami igazságos milyen messzire együtt a projekt végső vagytok, vagy legalább egy józan ellenőrizze, hogy be kell, hogy közeledik pont nem sokkal később. A Hackathon azután következik. Ismerd a Hackathon nem egy lehetőség hogy indítsa el a projekt végső, de célja, hogy lehetőséget hogy a közepén vagy felé a végén a projekt végső, A végrehajtás megfelelő néhány nappal később, majd a CS50 tisztességes. 

Most, CS50 termelése csapat, egy pár évvel ezelőtt, összerakni egy teaser A CS50 igazságos, ha azt hittem, hogy azt mutatják, hogy ma, mert már keményen dolgozik egy előzmény az, hogy egy új videót hogy mi köt ma. De itt van, mi vár rád az idei CS50 fair. [VIDEO LEJÁTSZÁS] - [CELL PHONE RINGING] [MUSIC "témát Mission: Impossible"] [END VIDEO LEJÁTSZÁS] DAVID J. MALAN: Tehát pontosan hogyan zárjuk projekt végső beadványt. Egy pár most teasers-- ha szeretnél csatlakozni Nick itt ebédre, mint mindig, ez Péntek, fej erre az URL itt. Sőt, ha azt szeretné, hogy csatlakozzanak, vagy ezt Nick Nick vagy ez, vagy bármely Allison tagjai CS50 csapata, nem veszik észre, hogy nem sokkal miután kifejezés végén, CS50 lesz már toborzása a jövő évi csapat, A CA, TF, tervezők, gyártók, kutatók és más pozíciók hogy itt működik mind a CS50 előtt, és a színfalak mögött. Szóval, ha ez érdekes lehet neked, fejét erre az URL itt. És a diákok kényelmesebb, kevésbé kényelmes, és valahol között egyaránt minden szívesen és ösztönzik, hogy alkalmazzák. 

Így történt, hogy tökéletes időzítés, nem vicc, ma reggel, amikor felébredtem, Volt ez itt az én postaládájába spam. Valójában megcsúszott a Gmail spam szűrő valahogy és végül az én tényleges postaládájába. És azt mondja, "Kedves postafiók felhasználó, akkor a jelenleg bővíthető 4 gigabájt helyet. Kérjük, jelentkezzen be fiókjába annak érdekében, hogy érvényesítse az E-tér. " 

És akkor itt van ez a szép kék csábító kapcsolat van, hogy kattintson A kar és a személyzet, ami aztán elvezetett Egy csodálatosan jogos oldalt, amely megkért, hogy adjam nekik a nevem és e-mail címét, és természetesen, jelszó érvényesítéséhez ki vagyok, és így tovább. De természetesen, mint minden esetben, megérkezik ez a nyitóoldal, és persze, ott van legalább egy elírás, ami úgy tűnik, hogy a szög a a koporsót bármely ilyen célra. És feltesszük, talán néhány egyéb linkek, ilyen jellegű képeidet a jövőben. De remélhetőleg, a legtöbb ember ez a szoba nem clicked-- vagy akkor is, ha már kattintott az ilyen kapcsolatok, mint ez, Ön még nem ment el odáig, hogy töltse ki ezeket a formákat, és így tovább. Sőt, ez rendben van, ha van. Megpróbáljuk kijavítani, hogy ma, Valóban, a mai beszélgetés a biztonság. 

És valóban, az egyik céljai CS50 nem annyi, hogy tanítani CE vagy PHP vagy JavaScript vagy SQL vagy ezek bármelyike ​​mögöttes végrehajtás részleteit. De, hogy képessé, emberek hogy csak okosabb döntéseket hozhat, mivel kapcsolódik le a technológia út, így, hogy te mérnök vagy humanista vagy tudós vagy bármilyen más szerepet, Ön hogy tájékozott döntéseket az Ön saját számítástechnikai használat, vagy ha a döntési helyzetben, a politikában, különösen, még van sok, sokkal jobb, mint a döntéseket Sok emberek ma már. És mi ezt a módon egy pár példa. 

Először is, eléggé meglepődtem a közelmúltban, hogy felfedezze a következőket. Szóval jelszavakat, természetesen, , amit a legtöbben használja, hogy megvédjük a data-- e-mail, chat, és mindenféle erőforrás, mint ezt. És csak egy awkward-- nem mutatják a kéz, de zavarba néz ki az szégyen, hány használja ugyanazt a jelszót a sok különböző honlapokon? 

Oh, OK, így fogunk tenni a kezét. OK, így sok csinálsz. Aki ezt teszi, csak miért? És mi? Igen? KÖZÖNSÉG: Ez könnyű megjegyezni, mert nem kell emlékezni [hallható]. DAVID J. MALAN: Igen, könnyű megjegyezni. Ez egy tökéletesen elfogadható, racionális viselkedés, annak ellenére, hogy a kockázat te saját magát az ezekben az esetekben csak egy vagy több ilyen honlapok ki van téve a hacker, vagy bizonytalan vagy a jelszót csak olyan rohadt kitalálható, bárki kitalálni. Nem csak egy számla veszélybe, de elméletileg bármely fiókjait az interneten. Szóval tudom, hogy azt mondják ma, nem használja ugyanazt a jelszót mindenhol, de ez sokkal könnyebb mondani, mint megtenni. De vannak technikák enyhítő hogy különös aggodalomra ad okot. 

Most történik meg, például, hogy használja a program neve 1Password. Egy másik népszerű az egyik a LastPass. És egy csomó CS50 személyzet használat egy vagy több ilyen típusú eszközöket. És hosszú történet rövid, egy elvihető ma legyen, igen, lehet, hogy ugyanazt a jelszót mindenhol, de ez nagyon könnyű nem csinálni. Például ezekben a napokban, tudom talán az egyik több tucat vagy több száz jelszavak. Minden az én más jelszavak a pszeudo-véletlen által generált egy ilyen program itt. És dióhéjban, és még bár a legtöbb ilyen program hajlamosak arra, hogy egy kis költség, akkor telepíti a programot, mint ez, akkor majd tárolja az összes A felhasználónevek és jelszavak belül az e program Saját Mac vagy PC vagy miegymás, és akkor nem lenne titkosított a számítógépen A mi remélhetőleg a különösen hosszú jelszó. Szóval van egy csomó jelszavakat az egyes webhelyek, és akkor van egy nagyon hosszú jelszó, hogy kinyit az összes többi jelszavakat. És mi kedvesek szoftver, mint ez a hogy, amikor meglátogat egy honlapot, ami kéri a felhasználónevet és a jelszót, ezekben a napokban, nem írja a felhasználónevet és a jelszót, mert megint, én nem is tudom, amit a legtöbb az én jelszó. Én inkább megüt a billentyűzet parancsikont, melynek eredménye az, hogy ez a szoftver a kiváltó megkérdezze a mester jelszót. Aztán írja, hogy az egyik nagy jelszót, majd a böngésző automatikusan kitölti a mi a jelszó. Tehát igazán, ha veszel mást re ma szempontjából jelszavak, ezek olyan szoftverek, amelyeket érdemes letöltés vagy befektetés úgy hogy akkor legalább szünet adott szokás. És ha te vagy az a típus, az a Post-It tudomásul veszi, vagy a like-- és esély legalább egy közületek ez-- hogy szokás is, elég annyit mondani, legyen törött. 

Most történt, hogy felfedezzék, ennek eredményeként A szoftver használatával a következő. Én rendeltem egy ehető megállapodás, ez a kosár gyümölcs, a közelmúltban. És hit a különleges billentyűzet parancsikont bejelentkezni a honlapon. És a szoftver váltott ki pop-up, hogy az említett, biztos vagy benne Akarod, hogy automatikusan benyújtja ezt a felhasználónevet és a jelszót? Mivel a kapcsolat nem biztonságos. 

A kapcsolat nem HTTPS használatával, biztonságos, használ, hogy a protokoll ismert SSL, a Secure Sockets Layer. És valóban, ha megnézi a bal felső az ezen a honlapon, ez csak www.ediblearrangements.com, nincs HTTPS, ami nem olyan jó. 

Most voltam curious-- talán ez csak egy hiba a szoftver. Bizonyára, néhány weboldal, mint ez, hogy egy csomó velünk a legalábbis titkosítás vagy HTTPS URL-címek naplózásra a. Szóval egy kicsit furcsa ma reggel. És kaptam az én CS50 készségek, Kinyitottam a Chrome Inspector. Ez nem is sok a készség. Ez csak nyomd meg a megfelelő billentyűzet parancsikon nyissa meg ezt a folyamatot. És itt van egy nagy ablak A Chrome Inspector. 

De mi volt valójában a kis tragikus és nevetséges voltak, a következő két sort ide. Fel a tetején, észre az URL amely a felhasználónevet és a jelszót nyújtottak be. Hadd nagyítás. Ez volt itt. És minden, ami fajta érdektelen, kivéve a dolog egészen a a bal oldalon, ami kezdődik a http: //. És akkor, OK, talán ők csak küldés a felhasználónév, amely a nem olyan nagy ügy. Lehet, hogy a jelszót kap küldött később. Ez lenne egy ilyen érdekes tervezési döntés. 

De dehogy. Ha majd nézd meg a kérelem hasznos teher, a felhasználónevet és a jelszót I sent-- és én kigúnyolják ezeket fel a slide-- ténylegesen küldött a tiszta. Szóval megy az adott weboldalt, és a elrendelheti, hogy a megállapodás ehető, mint ez, sőt, úgy tűnik, ez az összes idő Már rendelés tőlük, felhasználónév és jelszó megy át a tiszta. Szóval őszintén, ez teljesen elfogadhatatlan. És ez annyira triviális, hogy elkerüljék a dolgokat mint ezt a tervező egy honlap és mivel a programozó a honlapon. 

De elvihető itt nekünk például a felhasználók weboldalak csak az nyilvánvaló, hogy az összes úgy van, az egy hülye tervezés határozat indokolatlan tervezés határozat úgy, hogy most, ha tudod a jelszavam "Bíbor" ezen website, akkor valószínűleg Most kaptam egy csomó más honlapokon, hogy én most. És ott nem sok a védekezés ellen más, mint amit Chang ma reggel. Elment ehető intézkedéseit, amelyek található, az utcán Cambridge, és fizikailag megvették ezt nekünk. Ez sokkal biztonságosabb, mint a az oldal használata ebben az esetben. 

De a részlet, hogy tartsa a szemét a valójában mi van a böngészőben fel felső ott. De még, hogy lehet egy kicsit megtévesztő. Így egy másik érdekes példa és lehetőségük megvédeni ellen this-- és valóban, hadd nem hogy first-- a lehetőségük megvédeni ellen ez egy olyan technika, hogy a biztonsági emberek hívja kéttényezős hitelesítést. 

Tudja valaki, mi a megoldás a probléma, mint ez? Mi az a két-faktoros azonosítást? Másképpen megfogalmazva, hogyan sokan ön használ ez? OK, így egy-két félénk ember. De igen. Láttam a kezed megy fel. Mi az a két-faktoros azonosítást? 

KÖZÖNSÉG: Alapvetően, továbbá hogy beírja a jelszót, Önnek is van egy másodlagos [hallható] keresztül küldött szöveges üzenetet a telefon A [hallható]. DAVID J. MALAN: Pontosan. Amellett, hogy néhány elsődleges formában A hitelesítés, mint egy jelszó, Ön kérte, hogy másodlagos tényező, amely jellemzően valami, amit meg fizikailag rád, bár lehet valami más teljesen. És ez a dolog általában egy mobiltelefon ezekben a napokban, hogy amit kap küldött ideiglenes szöveges üzenet, amely azt mondja "Az ideiglenes belépési kód az 12345." 

Így amellett, hogy a jelszó "bíbor" Én is kell, hogy írja be bármilyen A honlap texted engem. Vagy ha ezt a bank vagy befektetési számla, Ön néha ezeket kis kulcsok, hogy valójában egy pszeudo-random generátort épített nekik, de mind a készülék, és a bank tudom, mi a kezdeti mag hogy tudják, még akkor is, a kis kódot a kis távirányító masírozik előre percenként vagy két, változó értékek, úgy nem, hogy az érték változása A bank szerverén hogy így hasonlóan hitelesíteni te, nem csak a jelszót, de hogy az ideiglenes kódot. Most, akkor valójában ezt a Google. És őszintén szólva, ez egy jó szokás bejutni, különösen, ha használja Gmail minden alkalommal a böngészőben. Ha megy, hogy erre az URL itt, ami a diák online ma, és majd kattintson a 2-Step ellenőrzése, ugyanaz a tényleges dolog van. A rendszer kérni fogja, hogy azokat a mobiltelefon számát. És akkor minden alkalommal, amikor bejelentkezik a Gmail, akkor lehet nem csak kérte a jelszó, hanem a kis kódot kap a telefonjára küldött ideiglenesen. És mindaddig, amíg Ön a cookie-k, és amíg te nem kifejezetten kijelentkezni, akkor csak kell csinálni, hogy egyszer egy kicsit, mint amikor leülsz egy új számítógépet. 

És a fejjel itt is az, hogy ha üljön le néhány internet cafe stílus számítógép, vagy csak egy barátja számítógépén, akár ha ez a barát rosszindulatúan vagy tudatlanul néhány billentyűzet naplózó telepített saját számítógépén, úgy, hogy mindent, amit típus rögzítését, legalább a második tényező, hogy ideiglenes kód, múlandó. Tehát ő, vagy akárki sérül a számítógép nem tud bejelentkezni beléd később, még akkor is, ha minden más sebezhető vagy akár nem titkosított összesen. Facebook ez is, azzal URL ide, ahol akkor kattintson a Belépés jóváhagyások. Tehát itt is, ha nem akar barátok piszkálni az embereket, ha nem akarjuk, hogy piszkálja a Facebook-on vagy kiküldetés státusz frissítéseket az Ön számára, kéttényezős hitelesítés itt valószínűleg egy jó dolog. És akkor itt van ez a más technika együtt, csak auditálás, ami még egy jó dolog számunkra emberek, ha két tényező bizonyítja bosszantó, ami Igaz, ez lehetséges, vagy csak nem elérhető a honlap bizonyos, minimális szem előtt tartásával, amennyiben és amikor Ön bejelentkezik a helyek, ha lehetővé teszi, egy jó módszer is. Így a Facebook is ad ez a login értesítések funkció, amely bármikor Facebook felismeri, hm, David is bejelentkezett valamilyen számítógép vagy a telefon hogy még sosem látott azelőtt az IP-címet, hogy néz ki ismeretlen, fognak legalább küldünk Önnek egy e-mail, hogy bármilyen e-mail címre van fájl, mondván: jelent ez néz gyanús? Amennyiben igen, haladéktalanul változtassa meg jelszavát. És ott is, Csak könyvvizsgálat viselkedés még azután is, ha már volt veszélybe, legalábbis keskeny ablak alatt amelyet veszélyeztetett. 

Rendben, bármilyen kérdése az, hogy a cucc eddig? Ma az a nap, hogy az összes A paranoia megerősített vagy megtagadják. Ez többnyire megerősítik, szomorúan. Igen? 

KÖZÖNSÉG: [hallható] telefon, mi van, ha a telefon szünetek, és akkor mindig Nehéz verify-- 

DAVID J. MALAN: True. 

KÖZÖNSÉG: Vagy ha egy másik ország, és ne hagyd, hogy belépés mert [hallható]. DAVID J. MALAN: Abszolút. És ezek azok a további költségeket merülnek fel. Mindig ezt a témát A trade-off, elvégre. És akkor, ha elveszíti a telefont, ha eltörik, ha külföldön, vagy csak nincs jel, mint a 3G vagy LTE jel, lehet, hogy valójában nem képes hitelesíteni. 

Szóval megint, ez a kettő a kompromisszumokat. És néha, akkor hozzon létre egy sok a munka az Ön számára, ennek eredményeként. De ez tényleg attól függ, akkor a mi a várható ára az Ön számára van valami lény veszélybe összesen. 

Szóval SSL, akkor, ez a technika, mindannyian általában magától értetődőnek vagy feltételezik van, annak ellenére, ez nyilvánvalóan nem ez a helyzet. És akkor is megtévesztésére emberek, bár még ezzel. Tehát itt egy példa a bank. 

Ez a Bank of America. Van egy egész csomó ilyen A Harvard Square és azon túl. És észre, hogy a legtetején A képernyőn van egy, sőt, HTTPS. És ez még zöld és hangsúlyozta nekünk annak jelzésére, hogy ez valóban jogosan biztonságos weboldal, vagy így már képzett hinni. 

Nos, amellett, hogy bár, észre, hogy, ha nagyítás, van ez a dolog itt, ahol te be kell jelentkeznie. Mit jelent ez lakat jelent jog ott, mellette a nevem kéri? Ez elég gyakori a weboldalakon is. Mit jelent ez lakat jelent? Úgy tűnik, mint tudod. 

KÖZÖNSÉG: Ez nem jelent semmit. 

DAVID J. MALAN: ez nem jelent semmit. Ez azt jelenti, hogy a Bank of America tudja, hogyan írjunk HTML címkéket kép, ugye? Ez igazán jelent semmit, mert még mi, hogy az első napon a mi megjelenés HTML, lehet kódot egy oldal a piros háttér és egy képet, mint egy GIF vagy miegymás, hogy előfordul, hogy néz ki, mint a lakat. És mégis, ez szuper gyakori honlapok, mert mi már képzett vállalja hogy, jaj, lakat azt biztos, ha tényleg csak azt jelenti, hogy ismeri a HTML. 

Például, vissza a nap, tudtam most, hogy ezt a honlapomon, azt állítva, hogy a biztonságos, és azt kérdezi, hatékonyan, az emberek felhasználóneveket és jelszavakat. Így keresi az URL legalább egy jobb nyom, mert ami beépített Chrome vagy bármilyen böngészőt használ. De még akkor is, néha a dolgok rosszra. És valóban, lehet, hogy nem mindig lásd HTTPS, nemhogy a zöld. 

Van valakinek valaha láttam a képernyőn, mint ez? Lehet, hogy valójában, korábban októberben, amikor elfelejtettem fizetni a Az SSL tanúsítvány, ahogy hívják, és kerestünk, mint a Ez az egész egy-két órát. Szóval már valószínűleg látott dolgok mint ez, a sztrájk-through, mint a piros vonal, a A jegyzőkönyv az URL-ben vagy valamilyen képernyő, ami Legalább te megrovása megpróbálta továbblépni. És a Google itt is meghívja hogy menjen vissza a biztonságot. 

Most, ebben az esetben ez csak azt jelentette, hogy Az SSL tanúsítvány, hogy mi volt a, A nagy, matematikailag hasznos számok társított CS50 szerverének, már nem érvényes. És valóban, tudjuk szimulálni ezt, mint te, a laptop. Ha bemegy Chrome itt, és menjünk a facebook.com, és úgy néz ki, ez biztos. De hadd menjek előre és most kattintson a lakat itt. 

És hadd menjen Connection, Tanúsítvány adatainak. És valóban, mit fog hogy itt van egy csomó Az alacsonyabb szintű részletek aki facebook.com valójában. Úgy tűnik, hogy az általuk kifizetett pénzt nevű cég talán DigiCert Nagy Biztosítás hogy megígérte hogy elmondja a világ többi része hogy ha a böngésző sem látja a certificate-- tudsz gondolni A szó szoros értelmében, mint egy igazolás arról, hogy néz ki, hogy vacak dolog top left-- akkor facebook.com, aki azt mondják, vannak, mert ebben az időben, amikor meglátogat egy honlapot, mint cs50.harvard.edu vagy facebook.com vagy gmail.com használó HTTPS URL-ek, a színfalak mögött, van ez a fajta tevékenység történik automatikusan az Ön számára, amely facebook.com, ebben az esetben, küld a böngésző a úgynevezett SSL tanúsítvány, vagy inkább, nyilvános kulcs, majd a böngésző használja hogy nyilvános kulcs hogy ezt követően küldjön titkosított forgalom, illetve arról. 

De van ez az egész hierarchia a világon a vállalatok hogy pénzt fizetni, hogy ki fog majd vallomást, a digitális értelemben, hogy Ön valóban facebook.com vagy a szerver valóban cs50.harvard.edu. És beépített böngésző, mint a Chrome és IE és a Firefox, egy listát az összes e úgynevezett tanúsító hatóságok amelyek által engedélyezett A Microsoft és a Google és a Mozilla megerősíteni, sem cáfolni, hogy a facebook.com az, akinek mondja magát. De a fogást, hogy ezek a dolgok nem járnak le. Sőt, a Facebook úgy néz ki, mint a lejár jövő októberben, 2015-ben. 

Így ténylegesen szimulálni ezt, ha megy a Mac-emet én System Preferences, és megyek a dátum és idő, valamint Megyek a Dátum és idő itt, és én kinyit ez here-- szerencsére, mi nem mutatják ezt a jelszót time-- és most megyek le a ki ezt. És nézzünk actually-- hoppá, ez nem olyan érdekes, mint ezt. Mi vagyunk a szó szoros értelmében a jövőben most, ami azt jelenti, ez az, ami olyan, mint a 2020. Ha most újratöltődik page-- csináljuk azt Ingognito mode-- ha én újra az oldalt, ott megyünk. 

Tehát most, a számítógép azt hiszi ez 2020-ban, de a böngésző tudja, hogy ez a tanúsítvány Facebook lejár, természetesen, 2015-ben. Szóval ez, hogy nekem ez a piros üzenetet. Most, szerencsére, böngészők mint a Chrome ténylegesen tette elég nehéz folytassa mégis. Azt valóban akar engem hogy menjen vissza a biztonságot. 

Ha rákattintok itt Advance, ez Elmondod, hogy néhány további részletet. És ha igazán akar folytatni, akkor majd hagyja menjek facebook.com, ami, ismét, a nem biztonságos, ekkor Meglátom Facebook honlapján, mint ez. De aztán más dolgok Úgy tűnik, hogy törés. Mi valószínűleg törés ezen a ponton? KÖZÖNSÉG: JavaScript. DAVID J. MALAN: Mint a JavaScript és / vagy CSS fájlok hasonlóan találkozás e hiba. Tehát ez csak egy rossz helyzet összességében. De a lényeg az, hogy legalább Facebook valóban van SSL azok a szerverek, mint sok weboldalak, nem, de nem feltétlenül az összes. 

De ez nem csak az elvihető itt. Kiderült, hogy még SSL Kimutatták hogy bizonytalan valamilyen módon. Szóval valami tippek, hogy az SSL, a jó. Keresse meg a HTTPS URL-t, és az élet jó, mert az összes HTTP-forgalom és fejlécek és a tartalom titkosított. 

Senki sem elfogni azt a középső, kivéve egy úgynevezett férfi a közepén. Ez egy általános módszer a világon a biztonság ismert a man-in-the-middle támadás. Tegyük fel, hogy te vagy a kis laptop itt a bal oldalon, és tegyük fel, hogy próbál, hogy látogassa meg szerveren ott a jobb oldalon, mint facebook.com. 

De tegyük fel, hogy a közted és a Facebook, egy csomó más szerverek és berendezések, mint például a kapcsolók és útválasztók, DNS-kiszolgálók, DHCP szerver, egyik sem mi irányítjuk. Lehet vezérelhető Starbucks vagy a Harvard vagy a Comcast vagy hasonlók. Nos, tegyük fel, hogy valaki rosszindulatúan, a hálózaton, a közted és a Facebook, képes mondani hogy tudod mit, az IP-címét A Facebook nem az, amire gondolsz. Ez az a IP helyette. 

És így a böngésző becsapott kérelmező forgalom másik számítógép teljesen. Nos, tegyük fel, hogy a számítógép csak úgy néz ki, minden A forgalom Ön által kért tól Facebook és az összes internetes oldalak hogy te kér a Facebook. És minden alkalommal, amikor látja a forgalom URL kezdődő HTTPS, dinamikusan, a repül, átírja a HTTP. És minden alkalommal, amikor lát egy helyen header, hely vastagbél, mint mi használjuk átirányítására a felhasználó, azokat is, meg lehet változtatni ezt az embert a középső tól HTTPS HTTP. 

Tehát annak ellenére, hogy lehet, hogy magad Szerintem te vagy az igazi Facebook, ez nem olyan nehéz az ellenség fizikai hozzáférés a hálózat egyszerűen vissza oldalakat, hogy néz ki, mint a Gmail, hogy néz ki, mint a Facebook, és valóban az URL azonos, mert ők úgy tesz, mintha, hogy, hogy ugyanaz a host név azért, mert bizonyos kizsákmányolás DNS vagy más rendszer, mint amilyet. És az eredmény tehát az, hogy mi, emberek talán csak észre, hogy rendben van, ez úgy néz ki, mint Gmail vagy legalábbis a régebbi verziót, mivel ez a diát egy régebbi előadás. De úgy néz ki, mint a this-- http://www.google.com. 

Tehát itt is, a valóság az, hogy hány van, ha megy a Facebook vagy a Gmail vagy bármilyen honlapján, és tudod, hogy egy kis valamit SSL-ről, hogy sokan közületek fizikailag írja https: //, majd a honlapon nevet, Enter. A legtöbb ember csak írja, mint, CS50, nyomja meg az Enter vagy az F-A Facebook és nyomja meg az Enter, és hagyja, hogy az automatikus kitöltés. De a színfalak mögött, ha nézi a HTTP-forgalmat, ott talán egy egész csomó ilyen hely fejlécek hogy küldenek Önt Facebook www.facebook.com a https://www.facebook.com. 

Szóval ez egy vagy több HTTP-forgalom ahol az információ teljesen küldött a tiszta, nem titkosítás nélkül. Most, hogy lehet, hogy nem olyan nagy kezelni, ha minden akarsz csinálni a hozzáférés a honlap, akkor nem küldő felhasználónevét és jelszavát. De mi az alatta A motorháztető, különösen PHP alapú weboldalak is küldött oda-vissza, ha meglátogatott néhány weboldalt, ha hogy weboldal felhasználás, mondjuk, PHP és végrehajtja funkciók, mint a pset7? Milyen küldték oda-vissza a HTTP-fejlécek hogy adtam neked hozzáférést ehhez a szép hasznos szuper globális PHP-ben? 

KÖZÖNSÉG: Cookie-kat. 

DAVID J. MALAN: Cookie-k, kifejezetten a PHP ülésszak azonosító cookie-t. Így emlékszem, ha megyünk, mondjuk, cs50.harvard.edu újra, de ez alkalommal, nyissuk fel a Network fül, és most, itt, nézzük a szó szoros értelmében csak megy a http://cs50.harvard.edu majd nyomja meg az Entert. És akkor nézd meg a képernyőt le itt. Figyeljük meg, hogy valóban van vissza a 301-át tartósan üzenet, ami azt jelenti, hogy van egy hely fejléc itt, amely most átirányítása, hogy HTTPS. 

De a fogás az, hogy ha már A cookie-ütve kezem gyakorlatilag, ahogy már korábban tárgyalt, és Én az a fajta ember tudatlanul csak látogasson el a bizonytalan változat, és a böngésző veszi magára azt mutatják, hogy kézi bélyegző az első kérés, ami HTTP, valaki a közepén, minden ellenség középen, elméletileg csak látni azok HTTP fejléceket, csak mint mi nézi őket ide. Csak ha te beszél egy HTTPS URL-nak, hogy a kézi bélyegző maga kap titkosított, a la Caesar vagy Vigenère, de egy galambász algoritmus teljesen. Így itt is, akkor is, ha weboldalak használata HTTPS, Mi emberek már kondicionált, köszönöm az automatikus teljes és egyéb technikákat, hogy nem is gondol a lehetséges következményeit. Nos, van megoldás is ezt. Például sok weboldalak konfigurálható úgy, hogy ha egyszer már ez a kéz bélyeg, akkor lehet mondani a böngésző, ez a kéz bélyegző csak SSL kapcsolat. A böngésző nem jelenthet nekem, ha vége SSL. De sok honlapok Nem zavar, hogy a. És sok honlapok látszólag ne is törődjünk SSL egyáltalán. 

Tehát még az, hogy van valójában még több szennyeződés ezen előadás hogy a fickó adott egy úgynevezett fekete Hat konferencián egy pár évvel ezelőtt, hol van még más rosszindulatú trükkök ember használta. Lehet, hogy visszahívja ezt fogalma a favicon, amely olyan, mint egy kis logót, ami gyakran a böngésző ablakot. Nos, mi lett gyakori a rossz fiúk is hogy fab ikonok néz ki, mint mi? KÖZÖNSÉG: [hallható]. DAVID J. MALAN: Mondd még egyszer? KÖZÖNSÉG: a weboldalak. DAVID J. MALAN: Nem a honlapon. Szóval favicon, apró ikon. Mi lenne a leginkább rosszindulatú, manipulatív dolog tudna tenni webhelye Alapértelmezett ikon néz ki? KÖZÖNSÉG: A zöld zár. DAVID J. MALAN: Mi az? KÖZÖNSÉG: Egy kis zöld zár. DAVID J. MALAN: Like zöld zár, pontosan. Így van ez az esztétikai egy kis zöld lakat, hint a világ, ó, vagyunk biztonságos, mikor, ismét, mind az azt jelenti, az, hogy tudod, néhány HTML. Így munkamenet eltérítése utal, hogy pontosan. Ha van valaki, aki olyan, szippantás a rádió a szobában ide vagy fizikai hozzáférése van a hálózat, és láthatjuk a cookie-kat, ő is megragad, hogy PHP ülésszak azonosító sütit. És akkor, ha ők hozzáértés ahhoz, hogy tudja Hogyan küldjön a cookie-k, mint a saját kéz pecsét csak a másolás az értéket és elküldi a HTTP fejlécek, valaki tudna nagyon könnyen jelentkezzen be bármelyik Facebook számlák vagy Gmail-fiókok vagy a Twitter fiókok, amelyek itt, nyitva a szobában, ha nem használja az SSL és ha a honlap nem használ SSL helyesen. 

Szóval átmenet a másikba. Tehát még egy igaz történet. És ez csak a tört hír vagy két hete. Verizon már csinál egy nagyon gonosz dolog, és a legjobb embereket tudja mondani, mivel legalább 2012, amely, ha weboldalakat keresztül Verizon mobiltelefon, bármi is a gyártó, voltak elbizakodottságból, ahogy a történet halad, intravénás be az összes HTTP forgalom saját HTTP fejléc. És hogy néz ki header mint this-- X-UIDH. UID olyan, mint egy egyedülálló azonosító vagy felhasználói azonosítót. X csak azt jelenti, hogy ez egy szokás header hogy nem szabványos. 

De hogy ez mit jelent az, hogy ha én húzza fel, például az a weboldal a telefont here-- és én vagyok a Verizon, mint az én carrier-- annak ellenére, hogy lehet, hogy a böngésző nem lehet küldése HTTP fejléc, Verizon, amint mint a jel eléri a mobiltelefon torony valahol, már egy ideje az intravénás ezt header valamennyi a mi HTTP forgalom. Miért teszik ezt? Feltehetően a követés okokból a reklám miatt. 

De a hülye tervezési döntés az, hogy egy HTTP fejléc, ahogy tudjátok honnan pset6, érkezik bármely web szerver hogy te kérő forgalom. Tehát ebben az időben, ha Ön már látogató Facebook vagy a Gmail vagy bármilyen website amely nem használja az SSL összes time-- és valóban, ezek a Két szerencsére most do-- de más honlapokon, hogy ne használja az SSL minden alkalommal, Verizon lényegében már ültetés, erőszakkal, Egy kéz bélyegzőt minden kedves kéz, hogy még nem látunk, hanem a vég weboldalak nem. És így nem volt, hogy a nehéz bárki az interneten fut a web szerver észre, ó, ez a David, vagy, ó, itt Davin, még akkor is, ha mi vagyunk körülbelül szigorú elszámolási a cookie-k, mert nem jön velünk. Ez jön a hordozó. 

Ők egy keresést a telefonszámon és akkor azt mondják, ó, ez a David. Hadd adja egy egyedi azonosítót, így hogy a hirdetők vagy akárki tud nyomon követni ezt. Tehát ez valójában nagyon, Nagyon, nagyon rossz és rémisztő. És azt javasoljuk, hogy nézd meg, például, Ebben URL, amit kellene elhárítja Igazából próbáltam ezt ma reggel. Írtam egy kis scriptet, tedd ezt URL, látogatott el a saját Verizon Mobil bekapcsolás után a Wi-Fi ki. Szóval van a Wi-Fi ki, így Ön a 3G vagy LTE vagy hasonló. És akkor, ha ellátogat Ez az URL, mindez script nem srácok, ha szeretne játszani, van az, kiköpi mi HTTP fejlécek a telefon küld a szerverünk. És valóban, a méltányosság, nem nem látja ezt ma reggel, ami elgondolkodtat sem a helyi mobiltelefon torony voltam kötve vagy miegymás nem csinálja, vagy ők már meghátrált az ezt átmenetileg. De további információkat, a fejét, hogy erre az URL itt. 

És most, hogy ezt this-- komikus lehet értelme. Nem? OK. Rendben van. Hogy meghalt. Rendben van. 

Szóval vessünk egy pillantást néhány nagyobb támadások, ha csak felhívja a figyelmet a majd felajánl egy pár A lehetséges megoldások úgy, hogy mind az inkább szem előtt tartja. Ez az egyik beszéltünk a többi nap, de nem ad nevet. Ez egy cross-site request hamisítás, amely egy rendkívül divatos módja mondván trükk, ha a felhasználó rákattint a URL, mint ez, ami trükkök őket a néhány viselkedés nem kívánják. 

Ebben az esetben, ez úgy tűnik, hogy megpróbálja becsapni engem a részvények értékesítése a Google. És ez sikeres lesz, ha Én, a programozó a pset7, még nem tette, mi? Vagy inkább még általánosabban, milyen esetek vagyok téve a támadás ha valaki egy másik felhasználó trükkök történő kattintással URL, mint ez? Igen? 

KÖZÖNSÉG: Nem tesz különbséget között a GET és POST. 

DAVID J. MALAN: Jó. Ha nem tesz különbséget között a GET és POST, és valóban, ha megengedjük GET eladási dolgokat, mi hívogató ez a fajta támadás. De még mindig kissé enyhíteni. És azt kommentálta, azt hiszem, a múlt héten, hogy az Amazon legalább igyekszik enyhíteni ezt a technikát ez elég egyértelmű. Mi lenne okos dolog hogy nem kell a kiszolgálón, nem csak vakon eladás bármilyen jel a felhasználó által? KÖZÖNSÉG: megerősítése fajta? DAVID J. MALAN: A megerősítő képernyő, valami járó emberi beavatkozás így kénytelen vagyok hogy az ítélet hívást, még akkor is, ha már naivan rákattintottam link, amely úgy néz ki, mint ez a és elvezetett a sejt képernyőre, a legalábbis megkért, hogy erősítse meg vagy cáfolja. De nem ritka támadást, különösen az úgynevezett phishing vagy spam-szerű támadásokat. 

Nos, ez az ember egy kicsit finomabb. Ez a cross-site scripting támadás. Ez történik, ha a weboldal nem használja egyenértékű htmlspecialchars. És ez a felhasználótól származó adatokból és csak vakon injekciós be egy weboldal, mint a nyomtatott vagy echo, with-- again-- ki hív valami mint htmlspecialchars. 

Tegyük fel, hogy a honlap kérdés vulnerable.com. És tegyük fel, hogy elfogadja paraméter nevű q. Nézd meg, mi fog történni ha tényleg egy rosszfiú, írja be vagy trükk, ha a felhasználó látogató egy URL-t, amely úgy néz ki, mint a this-- q = nyitott script tag, zárt script tag. És ismét: Én vagyok, feltéve, hogy vulnerable.com nem fog fordulni veszélyes karakterek, mint a nyitott zárójelet HTML entitások, a jelet, L-T, pontosvessző dolog hogy lehet, hogy látott. 

De mi az a script vagy JavaScript kód Próbálok becsapni a felhasználót a végrehajtó? Nos, document.location utal hogy a böngésző helyét. Tehát, ha én document.location =, ezt lehetővé teszi számomra, átirányítani a felhasználót A JavaScript egy másik weboldalon. Ez olyan, mint a mi PHP függvény átirányítás, de kész a JavaScript. 

Hol vagyok próbál küldeni a felhasználó? Nos, úgy tűnik, badguy.com/log.php, amely néhány script, nyilvánvalóan, a rossz fiú azt írta, hogy úgy paraméter nevű sütit. 

És észre, mit én Úgy tűnik, hogy összefűző rá a végén, hogy az egyenlő jel? Nos, valami, ami mondja document.cookie. Még nem beszéltünk erről. De kiderült, hogy JavaScript, csakúgy, mint a PHP, akkor a hozzáférés minden a cookie-k hogy a böngésző ténylegesen használ. 

Így a hatása ennek egy sor kódot, ha a felhasználó A becsapott Erre a linkre kattintva és a weboldal vulnerable.com nem menekülni a htmlspecialchars, az, hogy van, csak hatékonyan feltöltött log.php összes cookie-kat. És ez nem mindig ilyen problémás kivéve, ha egy ilyen cookie-k az Ön munkamenet-azonosító, a úgynevezett kézi bélyegző, amely olyan badguy.com teheti saját HTTP kérések, hogy a küldő ugyanaz a kéz bélyeg, hogy ugyanaz a cookie fejléc, és jelentkezzen be bármilyen website te látogató, ami a ebben az esetben vulnerable.com. Ez egy cross-site scripting támadás abban az értelemben, hogy te fajta megtévesztett egy oldalon a beszédes egy másik weboldalon néhány információt ez nem, sőt, van, hogy. 

Rendben, kész egy más aggasztó részlet? Rendben, a világ egy félelmetes hely, így jogosan. Itt egy egyszerű JavaScript például ez a mai forráskód úgynevezett térinformatikai 0 és 1. És van egy pár walkthroughs online e. 

És ez a következő, ha nyissa meg ezt a weboldalt a Chrome. Ez először nem csinál semmit. OK, akkor próbáljuk meg újra. Oh. Nem, meg kell csinálni valamit. OK, állni. 

Próbáljuk ezt még egyszer. [Hallható] Ah, OK, nem biztos, hogy miért a-- ó, a készülék valószínűleg elvesztette internet hozzáférés valamilyen okból. Rendben, így előfordul, hogy nekem is. 

Rendben, értesítés mi folyik itt. Ez a rejtélyes kinézetű URL, amely csak az egyik szerver CS50, akarja használni a számítógép hely, mint fizikailag jelent. És ha valóban, rákattintok Hagyja, lássuk, mi történik. Úgy látszik, ez az én jelenlegi szélesség és hosszirányú koordinálja le egy átkozottul jó felbontású. 

Szóval hogyan jutok ebben? Hogyan működik ez a weboldal, mint CS50 szerver, tudja, fizikailag, ahol a világon Én, nemhogy azzal pontossággal. Nos, kiderül out-- nézzük csak nézd meg a oldal source-- hogy itt van egy csomó HTML at az alján, hogy először be this-- test onload = "földrajzi helyét" - Csak egy függvény írtam. 

És én azt mondom, a terhelés Az oldal hívás földrajzi helyét. És akkor nincs semmi a szervezetben, mert a fejét az oldal, észre, mi van itt. Itt a földrajzi helyét funkciót. És ez csak néhány hiba checking-- ha a típus a navigator.geolocation nem definiált. Így van ez a JavaScript mechanizmus, ahol lehet mondani, hogy mi a típusú ez a változó? És ha ez nem undefined-- ez azt jelenti, hogy bizonyos value-- Én fogom hívni navigator.geolocation.getCurrentPosition majd a visszahívás. 

Mi ez? Így általában, mi is az a visszahívás, csak hogy tiszta? Lehet, hogy találkozott ez már pset8. Visszahívás egy általános kifejezés mit csinál? Olyan, mint én, csak ma. KÖZÖNSÉG: [hallható]. DAVID J. MALAN: Pontosan, funkciót, hogy amennyiben hívják csak akkor, ha van adat. Ez a felhívás a böngésző, hogy a jelenlegi helyzet, lehet, hogy egy ezredmásodperc, ez eltart egy percig. Ez azt jelenti, elmondjuk A GET getCurrentPosition módszer, hívja ezt a callback függvény, amelyet szó szerint megnevezett visszahívás az egyszerűség kedvéért, amely nyilvánvalóan ez itt. 

És ahogy getCurrentPosition működik, egyszerűen elolvassa a dokumentáció Néhány JavaScript kód online, hogy azt kéri, hogy az úgynevezett visszahívás funkció, továbbítja azt a ez egy JavaScript objektumot, belsejében, amely .coords.latitude és .coords.longitude, ami pontosan hogyan, akkor, amikor reloaded az oldalon Tudtam, hogy a hely itt. Most legalább van egy védelmi itt. Mielőtt meglátogatta ezt az oldalt, ha a ténylegesen ledolgozott, amit én legalábbis kéri? 

KÖZÖNSÉG: [hallható]. 

DAVID J. MALAN: Igen vagy no-- csinálni azt szeretnénk, hogy engedélyezze vagy tagadja ezt? De gondolom, túl, a szokások srácok valószínűleg elfogadták, mind a telefon, és a böngészők. Sokan, magamat benne, valószínűleg nagyon hajlamos ezeket days-- te megjelenik egy pop-up, csak Enter, rendben van, jóváhagyása, Engedélyezése. És egyre inkább, ha nem tud magát veszélynek a fenti okok miatt. 

Így valójában nem volt ez a csodálatos bug néhány év ago-- vagy hiánya feature-- hogy az iTunes már néhány évvel ezelőtt, amely, ha volt egy mobiltelefon, és ez egy iPhone, és elhagyta az otthoni és ezért körbejárta a világot vagy a környéken, ebben az időben, A telefon volt bejelentkezés hol van GPS-en keresztül. És ez valóban nyilvánosságra, és az emberek milyen ezt várják most. A telefon tudja, hol van. De a probléma az, hogy, ha volt biztonsági mentése a telefon iTunes-- ez előtt a nap iCloud, ami a jobb vagy worse-- az adatok tároljuk az iTunes, teljesen titkosítatlan. Tehát, ha van egy család, vagy szobatárs illetve a rosszindulatú szomszéd, aki tudni, szó szerint minden GPS koordinálja valaha járt, ő tudott csak üljön le az iTunes, fuss néhány szoftvert szabadon rendelkezésre, és a termék térképeket, mint ez. 

Tény, hogy ez az, amit én termelt saját telefon. Én bekapcsoltam. És úgy néz ki, amely A kék pontok vannak, ez az, ahol a legtöbb A GPS koordináták voltak bejelentkezett az iTunes, hogy volt az észak-ott. De úgy tűnik, körbeutazta egy kicsit, még belül Massachusetts. 

Szóval ez Boston Harbor ott a jobb oldalon. Ez a fajta Cambridge és Boston, ahol ez a legsötétebb. És néha, én futni ügyintézés egy nagyobb földrajz. 

De iTunes, évek, volt, mint a legjobb Én tudom, az összes adat rám. Azt tudta, hogy, abban az évben, én valójában utazás között nagy Boston és New York, majd oda-vissza és oda-vissza. És valóban, ez nekem Amtrak, hátsó oda, oda-vissza, egy kicsit. Minden, amit rögzítését és tárolt titkosított a számítógépen bárki, akik esetleg hozzáférést a számítógéphez. 

Ez aggasztó. Nem tudom, miért volt Pennsylvania és miért a telefon volt Pennsylvania, látszólag meglehetősen sűrűn. És akkor végül, néztem az én Gcal, és, ó, látogatott CMU, Carnegie Mellon, abban az időben. És phew, ez a fajta kifejtette, hogy a radarkép. És akkor, ha a zoom ki tovább, akkor lásd jártam San Francisco egy vagy több alkalommal, akkor, és én is volt egy kis bonyodalom, hogy milyen Azt hiszem, Vegas, odalent. Így minden this-- csak elnapolás, a repülőtéren. 

KÖZÖNSÉG: [nevetés] 

Tehát ez csak azt jelenti, hogy ezek a problémák, őszintén, mindenhol jelen van. És ez csak úgy inkább, mint ott egyre több ilyen kerüljön nyilvánosságra, ami talán egy jó dolog. Merem állítani, hogy a világ nem egyre rosszabb író szoftver. Mi egyre jobb, remélhetőleg a észrevette milyen rossz bizonyos szoftver az, hogy mi használ. És szerencsére, néhány cégek kezdik hogy vonják felelősségre ezért. 

De milyen védelmet is gondol? Így amellett jelszót vezetők, mint 1Password és LastPass és mások, mellett csak a jelszó megváltoztatása és jön a véletlen is a szoftverek, mint a hogy akkor is megpróbál amennyire csak tudod titkosítani az összes forgalom legalább szűkíteni a zóna egy fenyegetés. Így például, a Harvard leányvállalatok, akkor minden megy a vpn.harvard.edu és jelentkezz be a Harvard azonosítóját és PIN-kódot. És ez egy biztonságos kapcsolat közted és a Harvard. 

Most, hogy nem feltétlenül védelmet ellen fenyegetésektől, amelyek között Harvard és a Facebook vagy a Harvard és a Gmail. De ha ül a repülőtéren vagy te ül Starbucks vagy te ül egy barátja helyét, és nem igazán bízom bennük vagy konfigurációját saját router, legalább tudod megállapítani biztonságos kapcsolatot hogy az egység, mint a hely, ami talán egy kicsit jobban biztosított mint valami, mint egy Starbucks vagy hasonlók. És, hogy ez mire is azt állapítja meg, újra, titkosítás közted és a végpont. 

Még cifrább dolgok, mint ez. Szóval lehet, hogy néhányan már ismernie kell a Tor, ami ezt a fajta anonimizálás hálózat, amely sok ember, ha futtatni ezt a szoftvert, út később az internetes áthaladó egymást. Így a legrövidebb pont már nem A és B között De lehet, hogy az egész helyezzük úgy, hogy te vagy lényegében amely az ember és pálya elhagyása kevésbé a rekord, hogy hol van a HTTP forgalom jött, mert ez lesz egy egész csomó más emberek laptop vagy asztali, jobb vagy rosszabb. 

De még ez nem egy holtbiztos dolog. Néhányan talán emlékszem tavaly a bombariadó, hogy hívták. És végül volt visszavezethető, hogy a felhasználó, aki már használta ezt a hálózatot itt. És a fogás ott, ha jól emlékszem, az, ha nincs is olyan sok más ember szoftvert használ ilyen vagy ezt a port és protokoll, ez nem olyan nehéz a hálózat még kitalálni, hogy ki, bizonyos valószínűséggel, valójában névtelenítését ő forgalom. 

És nem tudom, hogy ezek voltak a tényleges adatokat kérdésre. De biztosan, rájönnek, hogy sem a ezek surefire megoldások is. És a cél az, hogy ma itt legalább neked gondolkodik ezekről a dolgokról és jön a technikákat megvédeni magát ellenük. Minden kérdésre minden fenyegetést hogy várnak odakint, és itt? Igen? KÖZÖNSÉG: Mennyire biztonságos do várjuk az átlag [? weboldal lenni,] mint Az átlagos CS50 projektet? 

DAVID J. MALAN: The átlagos CS50 projektet? Ez mindig bebizonyította, hogy minden évben néhány CS50 végleges projekt nem különösen biztonságos. Általában valami szobatársam vagy hallmate a számadatok ezt ki küldött kérések a projekthez. 

Rövid answer-- hány honlapok biztonságos? Én választom ma anomáliák. Mintha csak véletlen hogy rájöttem, hogy ezt a weboldalt Már rendelés ezeket őszintén finom megállapodások from-- és nem vagyok benne biztos Megyek ne használja saját honlapján; Talán csak megváltoztatni a jelszó még regularly-- ez nem világos, hogy milyen sebezhető mindezek various-- Ez csokoládés valójában. A rövid válasz, nem tudok válaszolni, hogy a hatékonyan, más, mint azt mondani, hogy nem volt nehéz számomra talál néhány ilyen példát csak kedvéért vita előadás. És csak szemmel tartja Google News és egyéb források hozza a több ezeket a dolgokat a fény. 

Rendben, nézzük megkötésére ezzel előzmény hogy CS50 csapata készített neked előre a CS50 Hackathon. És a kiutat a pillanat, gyümölcs kerül felszolgálásra. [VIDEO LEJÁTSZÁS] [MUSIC FERGIE, Q TIP ÉS GOONROCK, "A LITTLE PARTY soha nem ölt senki (ALL WE GOT) "] 

- [Horkolás] [END VIDEO LEJÁTSZÁS] DAVID J. MALAN: Ennyi CS50. Találkozunk szerdán. [MUSIC - Skrillex "IMMA" próbálja ki "]