DAVID J. MALAN: Þetta er CS50, og þetta er byrjun á viku 10. Þú getur muna að við höfum sýnt á skjánum a 3D prentara, sem er þetta tæki sem tekur spólur af plasti og þá extrudes það með hita það upp og bráðna hana þannig að við getum þá mynda her Chang 'hluti af fílar, til dæmis. 

Svo á Leverett House, þó nýlega, ég var að spjalla við einn af þínum bekkjarfélagar og vinur Chang er heitir Michelle, sem í raun interned á þetta önnur fyrirtæki á síðasta ári að hefur mismunandi tækni fyrir raunverulega búa þrívítt hluti, svona pínulítill lítill fíl hér. Einkum Leiðin þetta virkar er að það er dæmi um eitthvað kallast stereolithography, þar það er þetta vaskur af kvoðu eða vökva, og þá slær a leysir að fljótandi, og smám saman, tækið lyftur og lyftur og lyftir hlutur að þú ert að prenta, eins og fíl, eins og að vökvinn verður solid. Og niðurstaðan, reyndar, er eitthvað sem er miklu öflugri en sum plast uppljóstrun sum ykkar gæti hafa haft. 

Og hvað Chang vinsamlega gerði fyrir okkur hér var gerði tíma fellur niður með ljósmyndir yfir námskeiðið klukkustund eða meira, líklega til að framleiða þennan gaur hérna. Vildi einhver sem hefur aldrei komið upp áður eins og til að koma högg byrja á þetta myndband? Leyfðu mér að fara með, hvernig um það. Komdu upp. Allt í lagi. Og þú ert? LUKE: Luke míns NAME [inaudible]. DAVID J. MALAN: Hi, Luke. Gaman að hitta þig. 

LUKE: Gaman að hitta þig. Áhorfendur: Hann er í gangi fyrir UC. 

DAVID J. MALAN: Ég veit, við erum að reyna að kynna. Allt í lagi, þannig að Lúkas, allir þú þarft að gera hér í CS50 er ýtt á bil bar að prenta þetta fíl. [VIDEO Spilun] - [MACHINE whirring] - [Hrun] - [BOOM] - [Hrun] [END vídeó spilun] DAVID J. MALAN: Svo er það einmitt hvað það er að 3D prenta. Og hér er fíl þinn. Takk fyrir sjálfboðaliða. Allt í lagi. Svo aftur, og á forskrift fyrir lokaverkefni, þetta vélbúnaður sem er til boða ykkur er, fyrir sumir ástæða, verkefni hefur sumir gatnamótum á hugbúnaði og vélbúnaði, grein fyrir því að þetta eru nú auðlindir. 

Mig langaði til að taka eitt augnablik að snerta á a Crimson grein sem kom út seint í gærkvöldi, sem var að tilkynna að þetta náungi hér, Davíð Johnson, sem hefur verið eldri preceptor fyrir Ec 10 fyrir alveg sumir tími, er að fara Harvard minnsta lok skólaársins. Og ég vildi bara taka a augnablik, heiðarleika, þakka Davíð framan CS50. Hann er búinn að vera lærimeistari af konar að okkur í gegnum árin. 

Og mér finnst eins og við, CS50, hafa frekar vaxið upp með Ec 10 hér, þar sem þeir eru rétt á undan okkur. Og hann og allt liðið í Ec 10 hefur verið frábærlega náðugur, hreinskilnislega, eins og við drösla í öllum búnaði okkar hvor og í hverri viku, og ár síðan, enda mikið ráðspeki og við vorum forvitinn um hvernig þeir starfa Ec 10. Svo takk okkar og Aðdáun David Johnson. 

[Applause] 

Nú, unrelatedly, svo enda er örugglega nálægt. Við erum hér í 10. viku. Og við höfum bara bara par um formlega vikur hér í flokki til vinstri, eftir við a par af atburðum. Svo til að gefa þér hugmynd um hvað er á sjóndeildarhringnum, hér erum við í dag. 

Þetta Miðvikudagur, muna, við munum hafa a gestur fyrirlestur enginn annar en Eigin Steve Microsoft Ballmer. Ef þú hefur ekki enn farið að cs50.harvard.edu/register, gera það, þar sem pláss verður takmarkaður. Og þeir munu vera að haka Auðkenni á dyr í dag. Ef þú værir ekki hér síðustu viku, ég hélt að ég myndi stríða þér með mismunandi útlit á Steve og spennu sem bíður okkur á miðvikudag. 

[VIDEO Spilun] 

-Passion. 

-We're Fara að vera hardcore-- harðkjarna. 

-Innovator. 

-Bill Sagði, þú færð hana ekki. Við erum að fara að setja a tölva á hverjum borðinu og í hverju heimili, sem varð kjörorð fyrir fyrirtækið. Ég sver, Bill fundið það um nóttina til að virkilega gefa mér sum framtíðarsýn hvers vegna ég ætti að segja já. Ég hef aldrei litið til baka, raun, eftir það. 

-Fresh Úr háskóla, hann gengið í fledgling gangsetning og hjálpaði það vaxa inn í einn af Ameríku farsælasta fyrirtæki alltaf. Lífi og viðskipti lært á leiðinni láta hann aftur til hans bernsku ástríðu og ást. Og þeim reynslu hafa undirbúið honum fyrir næstu áskorun hans í lífinu. 

-Nothing Fær í way-- uppsveiflu okkar! Halda að koma harðkjarna! Go Clippers! 

-Þetta Er Steve Ballmer, "Í eigin orðum mínum." [END vídeó spilun] DAVID J. MALAN: --this Miðvikudagur til CS50. Höfuð aftur á þessa slóð hér. Eins og fyrir hvað er á sjóndeildarhringnum, í næstu viku, ekki fyrirlestur á mánudaginn. En við verður eftir að með quiz einn á miðvikudag. Fara á heimasíðuna CS50 fyrir smáatriði á fólk, staði, og tímum fyrir alla ýmsu proctoring flutninga og þess háttar, sem og um skoðunar fundur sem eru væntanleg. Og þá loks á mánudag, daginn fyrir viku Þakkargjörð brot, grein það verður endanleg fyrirlestur okkar. Við munum þjóna köku og mikill samningur af spennu, vonum. 

Nú, a par af öðrum uppfærslum. Hafðu í huga að staða Skýrslan, sem er í raun bara ætlað að vera frjálslegur samskipti með TF þinn til stolti greina þar bara hversu langt við þinn Lokaverkefni sem þú ert, eða að minnsta kosti eins og a Sanity athuga hvort þú ættir vera nálgast að benda skömmu eftir það. The Hackathon segir þá. Átta sig á Hackathon er ekki tækifæri að byrja lokaverkefnið þitt, en er ætlað að vera tækifæri að vera í the miðja af eða gagnvart enda lokaverkefni þitt, með framkvæmd vegna nokkrar dögum seinna, fylgt eftir með því CS50 fair. 

Nú, framleiðslu CS50 er lið, Tveimur árum setja saman beitu fyrir CS50 sanngjarnt að við hélt að við myndum sýna þér í dag, vegna þess að þeir hafa verið erfitt í vinnunni á prequel fyrir það, ný vídeó að við munum ljúka í dag með. En hér er það sem bíður þér fyrir CS50 sanngjörn í ár. [VIDEO Spilun] - [CELL PHONE hringingar] [TÓNLIST "Þema frá Mission: ÓMÖGULEGT"] [END vídeó spilun] DAVID J. MALAN: Svo er það nákvæmlega hvernig við loka endanlegar tillögur verkefni. A par af nú teasers-- ef þú vilt að ganga Skora hér í hádeginu, eins og venjulega, þetta Föstudagur, höfuð á þessa slóð hér. Þar að auki, ef þú vilt að ganga Nick eða þennan Nick eða þetta Allison eða meðlimir lið CS50 er, veist að, skömmu eftir árslok TERM er, CS50 muni vera ráða fyrir lið næsta árs, fyrir VS, TFS, hönnuði, framleiðendur, vísindamenn og öðrum stöðum að hér starfa CS50 bæði framan og aftan við tjöldin. Þannig að ef þetta gæti verið áhugaverð til þín, fara á þessa slóð hér. Og nemendur öruggari, minna þægileg, og einhvers staðar í milli eins eru allir velkomnir og hvattir til að sækja um. 

Svo það var fullkomið tímasetningu að, brandari í morgun, þegar ég vaknaði, Ég hafði þetta hér spam í pósthólfið. Það rann reyndar gegnum spam síu Gmail einhvern veginn og endaði í raun pósthólfið. Og það segir, "Kæri pósthólf notandi, þú ert nú uppfærsla til 4 gígabæta af plássi. Vinsamlegast skráðu þig inn á reikninginn þinn í því skyni að sannreyna E-rúm. ​​" 

Og svo er það þetta ágætur blár tæla tengilinn þar til að smella á fyrir kennara og starfsfólk, sem síðan leiddi mig að frábærlega lögmæt síðunni, sem bað mig um að gefa þeim nafn mitt og netfang og að sjálfsögðu, lykilorð til að staðfesta hver ég er og svo framvegis. En auðvitað, eins og er alltaf raunin, þú kemur á þessa áfangasíðu, og auðvitað, það er minnsta kosti einn prentvilla, sem virðist vera nagli í kistan neins þessara óþekktarangi. Og við munum senda, kannski, einhver annar Tenglar á þessum tegundum af skjámyndum í framtíðinni. En vonandi flestir í þetta herbergi hefur ekki clicked-- eða jafnvel ef þú hefur smellt slík tengsl og þetta, þú hefur ekki gengið jafn langt að fylla út í þeirri mynd og svo framvegis. Í raun er það OK ef þú hefur. Við munum reyna að laga það í dag, vegna þess, reyndar samtal í dag er um öryggismál. 

Og reyndar, einn af Markmið CS50 er ekki svo mikið að kenna þér CE eða PHP eða JavaScript eða SQL eða eitthvað af þessu undirliggjandi framkvæmd upplýsingar. En það er að styrkja þig eins og menn bara gera betri ákvarðanir og það snýr að tækni Niður vegi svo að, hvort sem þú ert verkfræðingur eða mannleg eða vísindamaður eða önnur hlutverk, þú ert að gera upplýstar ákvarðanir um eigin computing notkun þína, eða ef þú ert í a ákvarðanatöku stöðu, í stjórnmálum, einkum, þú ert að gera mikið, miklu betri ákvarðanir en a fullt af menn í dag hafa verið. Og við munum gera þetta með leið nokkrum dæmum. 

Fyrst var ég frekar hissa nýlega að uppgötva eftirfarandi. Svo lykilorð, að sjálfsögðu, eru hvað mest af okkur notkun til að vernda data-- bréf okkar, spjalla, og alls konar úrræði eins og þessi. Og bara af awkward-- ekki sýna af hendur, en skammast útlit smán, Hversu margir af þú notar sama lykilorð í fullt af mismunandi vefsíður? 

Oh, OK, þannig að við munum gera hendur. OK, svo mikið af þér að gera. Sá sem gerir þetta, bara af hverju? Og hvað? Já? Áhorfendur: Það er auðvelt að muna, því þú þarft ekki að muna [inaudible]. DAVID J. MALAN: Já, það er auðvelt að muna. Það er fullkomlega sanngjarnt, skynsemi hegðun, jafnvel þótt hættu þú ert að setja sjálfan þig á í þessum tilvikum sé bara eitt eða fleiri af þessum vefsíðum er viðkvæmt fyrir reiðhestur eða óörugg eða lykilorð þitt er bara svo fjári guessable, allir geta fundið það út. Ekki aðeins er einn reikningur léleg, en í kenningu, hvaða reikningum sem þú ert með á internetinu. Þannig að ég veit að ég gæti sagt í dag, ekki nota sama lykilorð allstaðar, en það er a einhver fjöldi auðveldara sagt en gert. En það eru aðferðir til draga að sérstakt áhyggjuefni. 

Nú, ég gerast, til dæmis, að nota forrit sem heitir 1Password. Annar vinsæll einn er kallað LastPass. Og fullt af CS50 starfsfólk nota einn eða fleiri af þessum konar verkfæri. Og langa sögu stutta, eitt takeaway í dag ætti að vera, já, þú gætir hafa Sama lykilorð alls staðar, en það er mjög auðvelt að ekki lengur að gera það. Til dæmis þessa dagana, ég veit kannski einn af tugum mínum eða hundruð lykilorða. Allar aðrar lykilorð mínum eru gervi-handahófi mynda af einum af þessum forritum hér. Og í hnotskurn, og jafnvel þó flest þessi forrit hafa tilhneigingu til að koma með smá kostnaði, þú vildi setja upp forrit eins og þetta, þú myndir þá geyma alla notendanöfn og lykilorð inni þetta forrit á eigin Mac eða PC eða whatnot, og þá væri það dulkóðuð á tölvunni þinni með hvað er vonandi a sérstaklega löng lykilorð. Þannig að ég hef a heild búnt af lykilorð fyrir einstökum vefsvæðum, og þá hef ég mjög lengi lykilorð sem ég nota til að opna alla þeim öðrum lykilorð. Og hvað er gott um hugbúnaður eins og þetta er að þegar þú ferð inn á vefsíðu sem er biðja um notendanafn og lykilorð, þessa dagana, ég slá ekki í notendanafnið mitt og lykilorð, vegna þess, aftur, ég veit ekki einu sinni hvað mest af lykilorð mínum eru. Ég lenti í staðinn hljómborð flýtileið, afleiðing sem er að kalla þennan hugbúnað til að hvetja mig til húsbóndi lykilorð mitt. Ég gerð þá að einn stór lykilorð inn og þá vafra sjálfkrafa fyllir í hvað lykilorðið mitt er. Svo sannarlega, ef þú tekur ekkert annað frá í dag hvað varðar lykilorð, þetta eru hugbúnaður sem eru þess virði sækja eða fjárfesta í svo að þú getur að minnsta kosti brot sem einkum venja. Og ef þú ert the tegund sem er nota Post-It bendir eða like-- og líkurnar eru að minnsta kosti einn af þér is-- að venja, of, nægja að segja, ætti að vera brotinn. 

Nú, ég varð að finna, eins og vegna að nota hugbúnaðinn, eftirfarandi. Ég var að panta ætu fyrirkomulagi, Karfan ávaxta, nýlega. Og ég lenti sérstaka lyklaborðinu mínu flýtileið til að skrá þig inn á vefsíðuna. Og the hugbúnaður af stað pop-upp sem sagði, þú ert viss þú vilt að ég sjálfkrafa leggja þetta notandanafn og lykilorð? Þar sem tengingin er óörugg. 

Tengingin er ekki nota HTTPS, fyrir öruggan nota þessi siðareglur þekktur sem SSL, Secure Sockets Layer. Og raunar, ef þú horfir á efst til vinstri á þessari vefsíðu, það er bara www.ediblearrangements.com, engin HTTPS, sem er ekki svo gott. 

Nú, ég var curious-- kannski þetta er bara a galla í hugbúnaði. Víst, sumir website eins þetta sem mikið af okkur vita af er að minnsta kosti með því að nota dulkóðun eða HTTPS Slóðir að skrá þig inn. Svo ég fékk smá forvitinn í morgun. Og ég fékk út CS50 færni mína, Ég opnaði Króm Eftirlitsmaður. Það er ekki einu sinni mikið af kunnátta. Það er bara högg rétt lyklaborð flýtileið til að opna þetta upp. Og hér er stór gluggi Eftirlitsmaður Króm. 

En hvað var í raun lítið sorglegt og fáránlegt voru þessar tvær línur hér. Upp efst, taka slóðina að sem notandanafn mitt og lykilorð voru lögð fram. Leyfðu mér að auka aðdrátt. Það var þessi hérna. Og allt sem er konar uninteresting, nema málið alla leið á vinstri, sem byrjar með http: //. Og svo þá, OK, kannski þeir eru bara að senda notendanafnið mitt, sem er ekki svo stór samningur. Kannski lykilorðið mitt fær send síðar. Það væri góður af áhugavert hönnun ákvörðun. 

En Neibb. Ef þú lítur þá á beiðni farmur, notandanafn og lykilorð Ég sent-- og ég spottað þessum upp fyrir slide-- voru í raun send í tær. Þannig að þú ferð að þessu tiltekna vefsíðu og panta Ætir Fyrirkomulag eins og þetta, og reyndar virðist, fyrir allt þetta skipti sem ég hef verið að panta frá þeim notendanafnið þitt og lykilorð er að fara yfir í ljóst. Svo heiðarlega, þetta algjörlega óviðunandi. Og það er svo léttvæg að forðast það eins og þetta sem hönnuður á vefsíðu og sem forritari á vefsíðu. 

En takeaway hér fyrir okkur sem notendur vefsíðna er bara að þakka að allir það tekur er fyrir einn heimskur hönnun ákvörðun, óréttlætanlegar hönnun ákvörðun, þannig að nú, ef þú veist lykilorðið mitt er "Crimson" á þetta website, hefur þú sennilega bara fékk í heild búnt af aðrar vefsíður sem ég hef nú. Og það er ekki mikið af vörn gegn því Annað en það sem Chang gerði í morgun. Hann fór til manneldis fyrirkomulagi, sem er staðsett niður götu í Cambridge, og líkamlega keypti þetta fyrir okkur. Það var miklu öruggari en með heimasíðu í þessu tilfelli. 

En smáatriði til að hafa auga út fyrir er í raun það sem er í vafranum upp efst þar. En jafnvel þessi geta vera a lítill villandi. Svo annað áhugavert dæmi og leið verja gegn this-- og raun, við skulum gera að first-- veg verja gegn þessu er tækni að öryggi fólks væri kalla tveir-þáttur auðkenningar. 

Hefur einhver veit hver lausnin við vandamálum eins og þessa þýðir? Hvað er tveir-þáttur staðfesting? Eða setja annan hátt, hvernig margir af þú ert að nota það? OK, þannig að par af feiminn fólk. En já. Ég sá hönd þína fara upp. Hvað er tveir-þáttur staðfesting? 

Áhorfendur: grundvallaratriðum, til viðbótar til að slá inn í lykilorðinu þínu, þú ert líka með annað [inaudible] send textaskilaboð í símann í [inaudible]. DAVID J. MALAN: Einmitt. Auk nokkurra aðal formi auðkenningar, eins lykilorð, þú ert beðin um að efri þáttur, sem er yfirleitt eitthvað sem þú hefur líkamlega á þig, þó það getur verið eitthvað annað að öllu leyti. Og þessi hlutur er venjulega Cellphone þessa dagana sem þú færð sendi tímabundið texta skilaboð sem segja "Tímabundið framhjá kóða er 12345." 

Svo til viðbótar við minn lykilorð "purpuri" Ég líka að slá í hvaða the website hefur texted mig. Eða ef þú hefur þetta með banka eða fjárfestingarfélag reikningur, þú ert stundum þessar little Dongles sem raun hafa gervi-handahófi númer rafall byggt inn í þá, en bæði tækið og bankinn vita hvað byrjunar fræ er þannig að þeir vita, jafnvel sem litla númer á litla takkann fob þinni gengr undan hverri mínútu eða tveir, breytt gildi, svo er að gildi breyting á miðlara bankans þannig að þeir geti á sama hátt sannvotta þú, ekki aðeins með lykilorðinu þínu, en með því tímabundna kóða. Nú getur þú í raun að gera þetta í Google. Og hreinskilnislega, þetta er góð venja að fá inn, sérstaklega ef þú ert að nota Gmail allan tímann á vafranum. Ef þú ferð á þessa slóð hér, sem er í skyggnur netinu í dag, og þá smelltu á 2-Step sönnun, sama raunverulegur hlutur þar. Þú verður beðinn um að gefa þeim klefi sími tala. Og þá, hvenær sem þú skráir þig inn Gmail, þú munt ekki aðeins spurt um lykilorð, en einnig fyrir a lítið númer sem fær sent í símann þinn tímabundið. Og svo lengi sem þú hefur fótspor virkt, og svo lengi sem þú ert ekki sérstaklega skráðu þig út, munt þú aðeins að gera það einu sinni í stutta stund, eins og þegar þú sest niður í nýrri tölvu. 

Og kosti hér líka, er, ef þú setjast niður á einhverjum cafe stíl tölva eða bara tölva vinur, jafnvel ef sem vinur illgirni eða óafvitandi er nokkrar lyklaborðs skógarhöggsmaður uppsett á tölvunni sinni, svo að allt sem þú gerð er skráð, að minnsta kosti að öðrum þáttur, að tímabundin númer, er skammvinn. Svo hann eða hún eða sá er léleg tölva getur ekki skráð þig inn í þig síðar, jafnvel þótt allt annað var viðkvæmt eða jafnvel unencrypted öllu leyti. Facebook hefur þetta líka, með þessari vefslóð hér, þar sem þú getur smellt á Innskráning samþykki. Svo hér, líka, ef þú ert ekki vilja vinir að pota fólki, þú vilt ekki að vera poking á Facebook eða pósta stöðuuppfærslur fyrir þig, tveir-þáttur staðfesting hér er líklega gott. Og þá er það þetta önnur tækni að öllu leyti, bara endurskoðun, sem er jafnvel gott fyrir okkur menn, ef tveir-þáttur reynist pirrandi, sem, vísu, getur það, eða það er bara ekki í boði á sumum heimasíðu, óverulega halda auga á ef og þegar þú ert að skrá þig inn í vefsvæðum, ef þeir leyfa þér, er góð aðferð líka. Svo Facebook gefur þér líka þetta tenging tilkynningar lögun, þar hvenær Facebook áttar, HM, David hefur tengdur frá sumum tölvu eða síma að við höfum aldrei séð áður frá IP-tölu sem lítur framandi, þeir amk senda þér tölvupóst til hvaða netfang sem þú ert með á skrá, sagði, lítur þetta út grunsamlegt? Ef svo er, að breyta lykilorðinu þínu strax. Og svo það líka, bara endurskoðun hegðun jafnvel eftir að þú hefur verið léleg, má að minnsta kosti þrengja glugga á sem þú ert viðkvæm. 

Allt í lagi, einhverjar spurningar á þessi efni hingað? Í dag er dagurinn til að fá allar ofsóknarbrjálæði þinn staðfest eða hafnað. Það er að mestu leyti staðfest, því miður. Já? 

Áhorfendur: [inaudible] síma, hvað ef síminn hléum þínum, og þá er það alltaf erfitt að verify-- 

DAVID J. MALAN: True. 

Áhorfendur: Eða ef þú ert í öðru land og þeir láta þig ekki skráðu þig inn vegna þess að [inaudible]. DAVID J. MALAN: Algjörlega. Og svo þetta eru viðbótar kostnaður sem þú fellur. Það er alltaf þetta þema af málamiðlun, eftir allt saman. Og þá, ef þú týnir símanum þínum ef það brýtur, ef þú ert erlendis, eða þú bara hef ekki merki, eins og 3G eða LTE merki, þú gætir í raun ekki vera fær um að auðkenna. 

Svo aftur, þetta eru tveir trade-offs. Og stundum, það getur búið a mikil vinna fyrir þig í kjölfarið. En það fer í raun, þá á hvað verðið til þín er eitthvað sé málamiðlun með öllu. 

Svo SSL, þá er þetta tækni sem við öll taka almennt sjálfsögðum hlut eða ráð er það, jafnvel þó það er greinilega ekki raunin. Og þú getur enn villa fólk, þó, jafnvel með þetta. Svo er hér dæmi um banka. 

Þetta er Bank of America. There er a heild búnt af þessum í Harvard Square og víðar. Og taka eftir því, á the mjög toppur af skjárinn, það er, örugglega, HTTPS. Og það er jafnvel grænt og hápunktur fyrir okkur til að gefa til kynna að þetta er örugglega löglega öruggt vefsvæði, eða svo að við höfum verið þjálfaðir til að trúa. 

Nú, fyrir utan að, þó, taka eftir því, ef við zoom í, það er þetta hér, þar sem þú ert beðinn um að skrá þig inn. Hvað þýðir þetta hengilás meina rétt þar, við hliðina á notendanafnið mitt hvetja? Þetta er nokkuð algengt á vefsíðum líka. Hvað þýðir þetta hengilás meina? Þú virðist eins og þú veist. 

Áhorfendur: Það þýðir ekki neitt. 

DAVID J. MALAN: Það þýðir ekki neitt. Það þýðir að Bank of America veit hvernig að skrifa HTML með tags mynd, ekki satt? Það þýðir sannarlega ekkert, vegna þess að jafnvel við, með því að nota fyrsta dag útlit okkar á HTML getur kóða upp síðu með rauður bakgrunnur og mynd, eins GIF eða whatnot, því gerist að líta út eins og hengilás. Og enn, þetta er frábær algeng í vefsíður, vegna þess að við höfum verið þjálfaðir til að gera ráð fyrir að ó, hengilás þýðir örugg, þegar það í raun bara þýðir að þú veist HTML. 

Til dæmis, til baka í dag, ég gat hafa bara setja þetta á heimasíðuna mína, krafa það er öruggt, og spyrja, á áhrifaríkan hátt, fyrir notendanöfn fólks og lykilorð. Svo að leita í slóð er minnsta kosti betri hugmynd, vegna þess að það er byggt inn Chrome eða hvað vafra þú ert að nota. En jafnvel þá, stundum hlutir geta farið úrskeiðis. Og í raun, þú might ekki alltaf sjá HTTPS, hvað þá í grænu. 

Hafa einhver ykkar alltaf séð skjár svona? Þú gætir hafa, reyndar, Fyrr í Október, þegar ég gleymdi að borga fyrir okkar SSL vottorð, eins og það er kallað, og við vorum að leita eins þetta fyrir klukkutíma eða tvo. Svo þú hefur líklega litið hlutina eins og þetta, með verkfalli-gegnum, eins og rauður línu, í gegnum aðferðarlýsing á vefslóðinni eða einhvers konar skjár sem er amk admonishing þig fyrir að reyna að halda áfram. Og Google hér er að bjóða þú að fara aftur til öryggis. 

Nú, í þessu tilfelli, þetta bara ætlað að SSL vottorð sem við vorum að nota, stóru, stærðfræðilega gagnlegar tölur sem eru tengd við miðlara CS50 er, voru ekki lengur gild. Og í raun getum við líkja þetta, eins og þú getur á fartölvu. Ef ég fer inn í Króm hér, og við skulum fara til facebook.com, og það lítur út eins og þetta er örugg. En láta mig fara á undan núna og smelltu á hengilás hér. 

Og láta mig fara í Connection, Certificate Information. Og raunar, hvað þú munt sjá hér er fullt af lægra stigi upplýsingar um sem facebook.com raunverulega er. Það virðist sem þeir hafa greitt peninga til fyrirtæki sem heitir kannski DigiCert High Trygging sem hefur lofað að segja umheiminum að ef vafrinn alltaf sér a certificate-- þú getur hugsa það bókstaflega sem vottorð sem lítur svona cheesy hlutur á efst left-- þá er facebook.com sem þeir segja þeir eru, af því að allan þennan tíma, þegar þú heimsækir vefsíðu, eins cs50.harvard.edu eða facebook.com eða gmail.com sem nota HTTPS Vefslóðir, á bak við tjöldin, það er þetta tegund af viðskiptum gerast sjálfkrafa fyrir þig, þar facebook.com, í þessu tilfelli, er að senda til þinn flettitæki þess svokallaða SSL vottorð, eða öllu heldur, dreifilykil, og þá vafranum þínum notar þessi dreifilykil í kjölfarið senda dulkóðað umferð til og frá henni. 

En það er þetta allt stigveldi í heimi fyrirtækja sem þú borgar peninga til sem vilja þá bera vitni, á stafrænu skilningi, að þú ert örugglega facebook.com eða netþjóninn er örugglega cs50.harvard.edu. Og byggt inn í vafra, eins Chrome og IE og Firefox, er listi yfir alla þá svokallaða vottorð yfirvalda sem heimild Microsoft og Google og Mozilla til að staðfesta eða neita að facebook.com er sem það segir það er. En aflinn er að þetta fyrnast. Í raun, Facebook lítur eins hún rennur út Október, í 2015. 

Þannig að við getum raunverulega líkja þetta ef ég fara í Mac minn að óskum tölvunni minni, og ég fer inn í Dagsetning og Tími og Ég fer inn Dagsetning og tími hér, og ég opna þessa here-- betur fer, við fengum ekki í ljós lykilorð þessa time-- og nú er ég að fara niður til að hakið þetta. Og við skulum actually-- Úbbs, það er ekki eins áhugavert og að gera þetta. Við erum bókstaflega í framtíðinni núna, sem þýðir að þetta er það sem 2020 er eins. Ef ég endurhlaða nú page-- skulum gera það í Ingognito mode-- ef ég endurhlaða síðuna, þar sem við förum. 

Svo nú, tölvan mín hugsar það er 2020, en vafrinn minn veit að þetta vottorð frá Facebook rennur auðvitað árið 2015. Svo það er að gefa mér þetta rauða skilaboð. Nú, sem betur fer, vafra eins Króm hafa í raun gerði það nokkuð erfitt að áfram engu að síður. Þeir vilja mig örugglega að fara aftur til öryggis. 

Ef ég smelli hér á Advance, það er fara að segja mér fleiri upplýsingar. Og ef ég vil virkilega að halda áfram, þeir láta mig fara í facebook.com, sem er, ný, hættuleg, á hvaða stað Ég skal sjá heimasíðu Facebook, eins og þetta. En þá annað virðast vera að brjóta. Hvað er líklega að brjóta á þessum tímapunkti? Áhorfendur: JavaScript. DAVID J. MALAN: Líkt og JavaScripts og / eða CSS skrár eru álíka fundur þessi villa. Þannig að þetta er bara slæmt ástand í heild. En punkturinn hér er að minnsta kosti Facebook er örugglega hafa SSL virkt fyrir þeirra framreiðslumaður, eins og margir vefsíður, gera, en ekki endilega allt. 

En það er ekki einn að takeaway hér. Skrúfjárn út að jafnvel SSL Sýnt hefur verið fram að vera óörugg á einhvern hátt. Þannig að ég ætla konar vísbending að SSL, góður. Leita HTTPS slóðir, og lífið er gott, því öll HTTP umferð og haus og efni er dulkóðuð. 

Enginn getur fylgst það í miðja, nema svokallað maður í miðju. Þetta er almenn tækni í heimi öryggi þekkt sem maður-í-the-miðja árás. Segjum að þú ert þetta litla laptop hérna á vinstri og ráð fyrir að þú ert að reyna að heimsækja miðlara þarna á hægri, eins facebook.com. 

En geri ráð fyrir að í milli þín og Facebook, er allt fullt af öðrum netþjónum og búnað, eins rofar og leið, DNS framreiðslumaður, DHCP framreiðslumaður, ekkert sem við stjórna. Það gæti verið stjórnað af Starbucks eða Harvard eða Comcast eða þess háttar. Jæja, ætla að einhver illgirni, á netið, á milli þín og Facebook, er fær um að segja þér það, þú veist hvað, IP vistfang Facebook er ekki það sem þú heldur það er. Það er þetta IP staðinn. 

Og svo er vafrinn þinn brögð í að biðja umferð frá öðru tölva með öllu. Jæja, gera ráð fyrir að tölva einfaldlega lítur yfirleitt um umferð sem þú ert að biðja frá Facebook og öllum vefsíðum að þú ert að biðja um frá Facebook. Og hvenær það sér í umferð a URL sem byrjar með HTTPS, það virk, á fljúga, umritar það sem HTTP. Og hvenær það sér stað haus, staðsetningu ristli, eins og við notum til að beina notandi, þeir líka, hægt að breyta með þennan mann í miðju frá HTTPS til HTTP. 

Svo jafnvel þótt þú sjálfur gæti Held að þú ert á alvöru Facebook, það er ekki það erfitt fyrir Óvinur með líkamlegt aðgengi við netið að einfaldlega aftur síður til þín að líta út eins og Gmail, sem líta út eins og Facebook, og örugglega slóðin er eins, því þeir eru þykjast hafa þessi sömu vélarnafn vegna sumir nýtingu DNS eða einhver önnur kerfi eins og þessi. Og niðurstaðan er þá að við mennirnir gætu aðeins átta sig á því, OK, þetta lítur út eins og Gmail eða amk eldri útgáfa, eins er þetta renna frá eldri framsetningu. En það lítur út eins og this-- http://www.google.com. 

Svo hér, líka, raunveruleiki er að hversu margir ykkar, þegar þú ferð á Facebook eða Gmail eða einhverju website og þú veist lítið eitthvað um SSL, hversu margir af þú líkamlega slá https: // og þá the website nafn, Enter. Flest okkar skrifar bara, eins og, CS50, Enter, eða F-A Facebook og ýttu á Enter, og láta það sjálfvirkt farartæki-heill. En á bak við tjöldin, ef þú horfir HTTP umferð, það er líklega allt fullt þessara staðsetningu haus sem eru að senda þér frá Facebook til www.facebook.com til https://www.facebook.com. 

Svo er það eitt eða fleiri HTTP viðskipti þar sem upplýsingar er alveg send í tær, nei dulkóðun neinu tagi. Nú, sem gæti ekki verið svo stór takast ef allt sem þú ert að reyna að gera er að fá aðgang að heimasíðunni, þú ert ekki senda notendanafn og lykilorð. En hvað er það undir hetta, sérstaklega fyrir PHP-undirstaða websites það er einnig verið send fram og til baka þegar þú heimsækir vefsíðu ef að vefsvæði notar, segja, PHP og útfærir virkni eins pset7? Hvað var verið sendur fram og til baka í HTTP haus þínum sem gaf þér aðgangur að þetta nokkuð gagnlegur frábær Global í PHP? 

Áhorfendur: Cookies. 

DAVID J. MALAN: Cookies, sérstaklega PHP sess ID kex. Svo man, ef við förum í, segja, cs50.harvard.edu aftur, en í þetta skiptið, við skulum opna upp Network flipann og nú, upp hér, skulum bókstaflega bara fara til http://cs50.harvard.edu og þá ýta á Enter. Og þá líta á skjánum niður hér. Takið eftir að við fengum örugglega aftur a 301 færð varanlega skilaboð, sem þýðir að það er staður haus hér, sem er nú Áframsendi mig til HTTPS. 

En aflinn er að ef ég hefði nú þegar Fótspor stimplað á minni hendi nánast, eins og við höfum áður rætt, og I manna konar óafvitandi bara heimsækja óörugg útgáfa og vafrinn minn tekur það á sig til að sýna að höndin Frímerki fyrstu beiðni, sem er yfir HTTP, einhver maður í miðjunni, allir Óvinur í miðjunni, getur fræðilega réttlátur sjá þessir HTTP haus, bara eins og við erum að horfa á þá hér. Það er aðeins þegar þú ert tala við https URL er að höndin Stimpill sig fá dulkóðuð, a la Caesar eða Vigenere, en með áhugamaður reiknirit öllu leyti. Svo hér, of, jafnvel þótt vefsíður nota HTTPS, við mennirnir höfum verið skilyrt, takk til sjálfvirkt farartæki-heill og annarri tækni, að ekki einu sinni hugsa um hugsanleg áhrif. Nú, það eru leiðir í kringum þetta. Fyrir dæmi, margir websites geta vera stilla þannig að þegar þú hefur þessa hönd stimpill, getur þú sagt vafrann, Þessi hönd stimpill er aðeins fyrir SSL tengingar. Vafrinn ætti ekki kynna það til mín, nema það er yfir SSL. En margir vefsíður nennir ekki við það. Og margir vefsíður virðist ekki einu sinni nenna með SSL yfirleitt. 

Svo fyrir meira um það, það er í raun enn meira óhreinindi í þessari kynningu að maður gaf á svokölluðum svart húfu ráðstefnu a par af ár síðan, þar er jafnvel annar Illgjarn Bragðarefur fólk hefur notað. Þú gætir muna þetta hugmyndinni um favicon sem er eins og lítið lógó sem er oft í glugga vafrans. Jæja, hvað er verið algeng meðal slæmur krakkar er að gera fab táknum sem líta út eins og hvað? Audience: [inaudible]. DAVID J. MALAN: Segjum aftur? Áhorfendur: The vefsíður. DAVID J. MALAN: Not a website. Svo favicon, pínulítill lítill helgimynd. Hvað væri mest illgjarn, manipulative hlutur þú gætir gert website þíns sjálfgefið icon líta út? Áhorfendur: Grænt læsa. DAVID J. MALAN: Hvað er það? Áhorfendur: Smá grænn læsa. DAVID J. MALAN: Eins grænt læsa, nákvæmlega. Svo er hægt að hafa þetta fagurfræði af litlu grænu hengilás, vísbending til heimsins, ó, við erum tryggja, þegar, aftur, allt það þýðir er að þú veist sumir HTML. Svo fundur ræna vísar til einmitt það. Ef þú hefur einhvern sem er eins konar sjúga Airwaves í þessu herbergi hérna eða hefur líkamleg aðgang að net og getur séð fótspor þín, hann eða hún getur grípa það PHP sess ID kex. Og þá, ef þeir eru kunnátta nóg til að vita hvernig á að senda þessi kex eins og þeirra eigin hönd stimpill bara með því að afrita það gildi og senda HTTP haus, einhver gæti mjög auðveldlega skrá þig inn í einhverju Facebook reikningar eða Gmail reikninga eða Twitter reikninga sem eru hér, opin í herberginu, ef þú ert ekki að nota SSL og ef vefsíða er ekki með SSL rétt. 

Svo skulum umskipti til annars einn. Svo önnur sönn saga. Og þetta bara blankur í fréttir í viku eða tveimur síðan. Regin hefur verið að gera mjög óhæfa, og eins besta fólk getur sagt, síðan að minnsta kosti 2012, þar sem, þegar þú skoðar vefsíður gegnum Regin farsíma, hvað framleiðanda það er, þeir hafa verið djarfa, sem sagan fer, sprauta inn í öll HTTP þinni umferð eigin HTTP haus þeirra. Og það haus útlit eins this-- X-UIDH. UID er eins einstakt kennimerki eða notandanafn. Og X þýðir bara þetta er sérsniðin haus sem er ekki staðalbúnaður. 

En hvað þetta þýðir er að ef ég draga upp, til dæmis, allir website í símanum here-- minn og ég er að nota Regin sem carrier-- minn gæti ekki jafnvel þótt vafrinn minn að senda þetta HTTP haus, Regin, eins fljótt sem merki nær ÞEIRRA Cellphone turn einhvers staðar, hefur verið um nokkurt skeið að sprauta þetta haus í öll HTTP umferð okkar. Af hverju gera þeir þetta? Væntanlega til að rekja ástæður, ástæðum auglýsingar. 

En moronic hönnun ákvörðun hér er að HTTP haus, eins og þú krakkar vita frá pset6, berst allir vefur framreiðslumaður að þú ert að biðja um umferð á. Svo allt í þetta sinn, ef þú hefur verið í heimsókn Facebook eða Gmail eða allir website sem ekki nota SSL alla time-- og í raun, þeir tveir þakksamlega nú do-- en aðrar vefsíður sem ekki nota SSL allan tímann, Regin hefur meginatriðum verið gróðursetningu, valdi, hendi stimpill á öllum okkar hendur sem jafnvel við sjáum ekki, heldur, gera endir websites. Og svo það hefur ekki verið það erfitt fyrir einhver á internetinu keyra vefþjóninn til átta sig á, ooh, þetta er David, eða, ooh, þetta er Davin, jafnvel ef við erum strangt um að hreinsa fótspor okkar, því það er ekki að koma frá okkur. Það kemur frá flutningsaðila. 

Þeir gera útlit á símanúmerinu þínu og þá segja, ó, þetta er David. Leyfðu mér að sprauta einstakt auðkenni svo að auglýsendur okkar eða sá getur halda utan um þetta. Þannig að þetta er í raun mjög, mjög, mjög slæmt og hryllileg. Og ég myndi hvetja þig til kíkja, til dæmis, á þessari vefslóð, sem ég ætti að afsala Ég reyndi í raun þetta í morgun. Ég skrifaði smá handrit, setja það á þessari vefslóð, heimsótt hana með eigin Regin minn Cellphone eftir að breyta Wi-Fi burt. Svo þú þarft að snúa Wi-Fi burt svo að þú ert að nota 3G eða LTE eða þess háttar. Og þá, ef þú heimsækir þetta URL, allt þetta handrit gerir fyrir ykkur, ef þú vilt spila, er það spits út hvað HTTP haus Síminn er að senda á miðlara okkar. Og ég reyndar í sanngirni, gerði ekki sjá þetta í morgun, sem gerir mig hugsa annaðhvort staðbundin Cellphone turn ég var tengdur við eða whatnot er ekki að gera það, eða þeir eru búnir backed burt til að gera þetta tímabundið. En til að fá frekari upplýsingar, að fara til þessa slóð hér. 

Og nú að this-- þetta grínisti gæti skynsamleg. Nei? OK. Allt í lagi. Það dó. Allt í lagi. 

Svo skulum taka a líta á a par af fleiri árásir, ef aðeins til að auka skilning á og þá bjóða upp á nokkra hugsanleg lausn þannig að þú ert öll meira vakandi. Þessi sem við ræddum um hitt daginn, en ekki gefa upp nafn á það. Það er kross-staður beiðni falsanir, sem er of ímynda sér vegur af að segja þú bragð notanda inn smella á a URL eins þessi, sem bragðarefur THEM í sumum hegðun sem þeir ekki ætla. 

Í þessu tilviki, þetta virðist vera að reyna að plata mig í að selja hlutabréf mín í Google. Og þetta mun ná árangri ef Ég er forritari á pset7, hafa ekki gert það? Eða frekar, almennt, í hvaða tilvikum er ég viðkvæmari fyrir árás ef einhver bragðarefur annar notandi inn því að smella á slóð eins og þetta? Já? 

Áhorfendur: Þú greina ekki milli FÁ og POST. 

DAVID J. MALAN: Good. Ef við greina ekki milli FÁ og POST, og örugglega, ef við leyfa Fá fyrir að selja hluti, við erum að bjóða þessa tegund af árás. En við gætum samt draga það nokkuð. Og ég sagði, ég held, síðustu viku um að Amazon amk reynir að draga þetta með tækni það er nokkuð augljóst. Hvað myndi klár hlutur að gera að vera á vefþjóninum þínum, frekar en bara í blindni að selja hvað tákn notandinn slær í? Áhorfendur: Staðfesting nokkurs konar? DAVID J. MALAN: A staðfesting skjár, eitthvað á mönnum samskipti þannig að ég er neydd til að gera dómur símtal, jafnvel þótt ég hef naively smellt tengill sem lítur svona út og leiddi mig til the klefi skjánum, á kosti bað mig um að staðfesta eða neita. En ekki óalgengt árás, sérstaklega í svokölluðu phishing eða spam-eins árásir. 

Nú, þetta einn er a lítill fleiri lúmskur. Þetta er kross-staður forskriftarþarfir árás. Og þetta gerist ef þú website er ekki að nota jafnvirði htmlspecialchars. Og það tekur notandi inntak og bara blindni sprauta það inn í a vefur blaðsíða, eins og með prentuðu eða echo, with-- again-- út kalla eitthvað eins htmlspecialchars. 

Svo býst heimasíðu í Spurningin er vulnerable.com. Og geri ráð fyrir það samþykkir viðfang heitir q. Líta á það sem gæti gerst Ef ég reyndar, a slæmur strákur, tegund í eða bragð notanda inn heimsækja vefslóð sem lítur eins this-- q = opið handrit tag, lokað handritið tag. Og aftur, ég er hrokafullur að vulnerable.com er ekki að fara að snúa hættulegt stafir eins opnum sviga í HTML aðila, ampersand, L-T, semíkommu hlutur að þú gætir hafa séð áður. 

En hvað er handritið eða JavaScript kóða Ég er að reyna að plata a notandi í framkvæmd? Jæja, document.location vísar núverandi heimilisfang vafrans míns. Svo ef ég document.location =, þetta gerir mér kleift að beina notanda í JavaScript til annar website. Það er eins og PHP virka okkar áframsenda, en gert í JavaScript. 

Hvar er ég að reyna að senda notanda? Jæja, virðist, badguy.com/log.php, sem er einhver handrit, greinilega, slæmur strákur skrifaði, það tekur viðfang heitir kex. 

Og taka eftir, hvað á ég að virðast vera concatenating á lok þess jafnaðarmerki? Jæja, eitthvað sem segir document.cookie. Við höfum ekki talað um þetta. En það kemur í ljós, í JavaScript, rétt eins og í PHP, þú getur fengið aðgang að öllum smákökum að vafrinn þinn er í raun að nota. 

Svo áhrif þessa einn lína af kóða, ef notandi er brögð í að smella á þennan tengil og heimasíðu vulnerable.com ekki flýja það með htmlspecialchars, er að þú ert bara í raun hlaðið að log.php öllum fótspor. Og það er ekki alltaf svo erfið, nema ef einn af þeim smákökur er fundur ID, þinn svokallaða hönd frímerki, sem þýðir badguy.com getur hans eða hennar eigin HTTP beiðnir, senda þessi sömu hendi stimpill, sama kex haus, og skráir þig inn hvaða vefsíðu þú varst að heimsækja, sem þetta mál er vulnerable.com. Það er kross-staður forskriftarþarfir árás í þeim skilningi að þú ert svoleiðis svikull einn staður í segja annar website um einhverjar upplýsingar það ætti ekki í raun, hafa aðgang að. 

Allt í lagi, tilbúinn fyrir einn Annað áhyggjuefni smáatriðum? Allt rétt, heimurinn er skelfilegur staður, löglega svo. Hér er einföld JavaScript dæmi sem er í dag kóða kallast Geolocation 0 og 1. Og það er a par walkthroughs á netinu fyrir þetta. 

Og það er eftirfarandi ef I opna þessa vefsíðu í Chrome. Það gerir fyrst ekkert. OK, við munum reyna þetta aftur. Oh. Nei, það ætti að gera eitthvað. OK, standa við. 

Skulum reyna þetta einu sinni enn. [Inaudible] Ah, OK, ekki viss hvers vegna the-- ó, tækið sennilega misst internetið aðgangur fyrir sumir ástæða. Allt í lagi, svo gerist við mig líka. 

Allt í lagi, þannig að tilkynning hvað er að gerast hér. Þetta dulinn-útlit URL, sem er bara einn af CS50 miðlara, vill nota tölva 'minn staðsetning, eins líkamlega þýðir það. Og ef, reyndar ég smellt á Leyfa, við skulum sjá hvað gerist. Apparently, þetta er núverandi breiddar minn og langskipshnitin niður til laglegur fjári góðri upplausn. 

Svo hvernig gerði ég fá á þetta? Hvernig virkar þetta vefsvæði, eins CS50 miðlara, veit líkamlega hvar í heiminum Ég er, hvað þá með þeim nákvæmni. Jæja, snýr out-- skulum bara líta á source-- síðunnar að hér er fullt af HTML á neðst sem fyrst hefur this-- líkami onload = "geolocate" - bara virka ég skrifaði. 

Og ég er að segja, á fermingu á síðunni, hringja geolocate. Og þá er það ekkert í líkamanum, vegna þess að í höfuðið á síðunni, taka eftir hvað ég hef hér. Hér er geolocate virka minn. Og þetta er bara einhver villa checking-- ef gerð navigator.geolocation er ekki óskilgreind. Svo hefur JavaScript þetta vélbúnaður þar þér getur sagt, hvað er tegund af þessum breytu? Og ef það er ekki undefined-- sem þýðir að það er einhver value-- Ég ætla að hringja navigator.geolocation.getCurrentPosition og þá um svarhringingu. 

Hvað er þetta? Svo almennt, hvað er svarhringingu, bara til að vera skýr? Þú gætir hafa komið upp þetta þegar í pset8. Svarhringingu er almenn orð fyrir að gera hvað? Líður eins og bara mér í dag. Audience: [inaudible]. DAVID J. MALAN: Einmitt, fall sem ætti eingöngu hægt að kalla þegar við höfum gögn. Þetta símtal í vafrann, fá núverandi minn stöðu, gæti tekið eitt millísekúnda, það gæti tekið smá stund. Hvað þetta þýðir er að við erum að segja GET getCurrentPosition aðferð, kalla þetta svarhringingu virka, sem ég bókstaflega heitir svarhringingu Fyrir einfaldleiki, sem víst er þetta einn hér. 

Og hvernig getCurrentPosition virkar, einfaldlega með því að lesa gögn fyrir JavaScript netinu, er að það kallar að svokölluð svarhringingu virka, fer það inn það JavaScript mótmæla, inni þar af er .coords.latitude og .coords.longitude, sem er einmitt hvernig þá, þegar ég Reloaded þessa síðu, ÉG var fær til að sjá staðsetningu mína hér. Nú, að minnsta kosti að það var vörn hér. Áður en ég kom til þessa síðu, þegar það vann í raun, hvað var ég að minnsta kosti beðið um? 

Audience: [inaudible]. 

DAVID J. MALAN: Já eða no-- gera þú vilt leyfa eða banna þetta? En hugsa líka um vana þú krakkar hafa sennilega samþykkt, bæði á þínum síma og vafra þínum. Margir af okkur, ég sjálfur með, eru sennilega nokkuð tilhneigingu þessir days-- þig sjá pop-up, bara slá, OK, samþykkja, Leyfa. Og æ, er hægt að setja þér í hættu fyrir þeim ástæðum. 

Svo í raun, það var þessi yndislega padda nokkur ár ago-- eða skortur á feature-- að iTunes hafði fyrir nokkrum árum síðan, þar, ef þú hefðir a klefi sími, og það var iPhone, og þú vinstri heimili þínu og því ferðaðist um heim eða hverfinu allan þennan tíma, Síminn var skógarhögg hvar þú ert með GPS. Og þetta er í raun birta, og fólk konar búast við þessu núna. Síminn veit hvar þú ert. En vandamálið var að, þegar þú varst að stuðningur upp símans iTunes-- þetta var áður en dagar iCloud, sem er fyrir betri eða worse-- gagna var verið geymd í iTunes, alveg unencrypted. Svo ef þú ert með fjölskyldu eða herbergisfélaga eða illgjarn nágranni sem er forvitinn um bókstaflega hvert GPS hnit þú hefur einhvern tíma verið til, hann eða hún gæti bara setjast niður á iTunes, hlaupa sumir hugbúnaður sem var frjálslega boði, og framleiða kort líkar þetta. 

Í raun, þetta er það sem ég framleitt eigin símanum mínum. ÉG tappi það í. Og það lítur út eins og, miðað á bláa punkta þar, það er þar sem flestir af GPS hnit voru skráður með iTunes sem ég var á Norðurlandi eystra þar. En ég ferðaðist virðist um svolítið, jafnvel innan Massachusetts. 

Svo er það Boston Harbor þarna til hægri. Það er góður af Cambridge og Boston, þar sem það er dimma. Og stundum myndi ég hlaupa sendiferðir til stærri landafræði. 

En iTunes, í mörg ár, hafði, eins og best Ég gæti sagt, allt þetta gögn um mig. Þú gæti sagt að, það ár, ég var í raun ferðast mikið milli Boston og New York, að fara fram og til baka og fram og til baka. Og reyndar er þetta mér á lestarstöð, aftur og til baka, fram og til baka, töluvert. Allt sem var verið skráð og geymd brengla á tölvunni minni fyrir þá sem kunna að hafa aðgang að tölvunni minni. 

Þetta var áhyggjuefni. Ég vissi ekki af hverju ég var í Pennsylvania eða hvers vegna síminn minn var í Pennsylvania, virðist nokkuð þéttur. Og svo, að lokum, ég horfði á Gcal minni, og, ó, ég heimsótt CMU Carnegie Mellon, á þeim tíma. Og phew, sem eins konar útskýrði að blip. Og þá, ef þú notar aðdrátt lengra, þú getur sjá ég heimsótti San Francisco einu sinni eða oftar þá, og ég hafði jafnvel layover í hvað Ég tel Vegas, þarna niðri. Svo öll this-- bara layover, á flugvellinum. 

Audience: [Hlátur] 

Þannig að þetta er aðeins til að segja að þetta vandamál, heiðarleika, eru alls staðar nálægur. Og mér finnst bara æ eins og það er meira og meira af þessu verið birtar, sem er líklega gott. Svo mun, heimurinn er ekki versna á skriftir hugbúnaður. Við erum að fá betri, vonandi, í að taka eftir hversu slæmt viss hugbúnaður er að við erum að nota. Og sem betur fer, sum fyrirtæki eru farin að vera dregnir til ábyrgðar fyrir þetta. 

En hvers konar vörnum er hægt að hafa í huga? Svo að auki lykilorð stjórnendur, eins 1Password og LastPass og aðrir, Auki bara breyta lykilorð þitt og koma upp með handahófi sjálfur nota hugbúnað eins það, getur þú einnig prófað sem best þú getur að dulkóða alla umferð að minnsta kosti þrengja svæðið af ógn. Svo til dæmis, eins og Harvard hlutdeildarfélög, þú getur allt farið til vpn.harvard.edu og skráðu þig með Harvard auðkenni og PIN. Og þetta mun koma á öruggu tengsl milli þín og Harvard. 

Nú, það er ekki endilega vernda þig gegn öllum ógnum sem eru á milli Harvard og Facebook eða Harvard og Gmail. En ef þú ætlar að sitja í flugstöð eða þú ert situr í Starbucks eða þú ert sitja á stað vinur, og þú í raun ekki treysta þeim eða þeirra stillingar heima leið þeirra, að minnsta kosti hægt að koma örugg tenging við stofnun eins þessum stað sem er sennilega aðeins betur tryggt en eitthvað eins og Starbucks eða þess háttar. Og hvað þetta gerir er hún staðfestir, á ný, dulkóðun milli þín og endapunkt. 

Jafnvel áhugamaður eru hlutir eins og þetta. Svo sumir af þú might þegar að þekkja Tor, sem er einmitt svona anonymization net, þar fullt af fólki, ef þeir hlaupa þennan hugbúnað, leið kjölfarið internet þeirra umferð í gegnum hvert annað. Svo er stysta lið ekki lengur milli A og B. En það gæti verið allt að setja þannig að þú ert í raun nær lög manns og afgangur minna af skrá um hvar HTTP þitt umferð kom frá, því það er að fara gegnum allt fullt af annarra fartölvur eða skjáborð, fyrir betri eða verri. 

En jafnvel er þetta ekki a Surefire hlutur. Sumir af þú might muna á síðasta ári sprengjan skrekkur sem kallaði var í. Og það var rakin lokum til a notandi sem hafði notað þetta net hérna. Og aflinn þar, eins og ég man, er, ef það eru ekki margir aðrir nota hugbúnað eins og þetta eða nota þessa höfn og siðareglur, það er ekki það erfitt að netkerfi til jafnvel reikna út sem með einhverjum líkum, var í raun nafnlausar hans eða umferð hennar. 

Og ég veit ekki hvort þeir voru raunverulegur UPPLÝSINGAR um ræðir. En örugglega, átta sig á að ekkert af þetta eru surefire lausnir, eins og vel. Og markmið hér í dag er að minnstu fá þig til að hugsa um þessa hluti og koma upp með aðferðir fyrir verja þig gegn þeim. Einhverjar spurningar um allar þær ógnir sem bíða eftir þér þarna úti, og hér? Já? Áhorfendur: Hversu öruggar gera við gerum ráð fyrir meðaltal [? website til vera,?] eins meðaltal CS50 verkefni? 

DAVID J. MALAN: The meðaltal CS50 verkefni? Það er ávallt reynst hverju ári sem sumir CS50 lokaverkefni eru ekki sérstaklega örugg. Venjulega er það sumir herbergisfélagi eða hallmate að tölur þetta út með því að senda beiðnir til verkefnisins. 

Short answer-- hversu margir vefsíður eru örugg? Ég ætla að tína á dag frávik. Eins og það var bara happenstance að ég áttaði að þessari vefsíðu Ég hef verið að panta þetta hreinskilnislega ljúffengur fyrirkomulag from-- og ég er ekki viss um að ég ætla hætta að nota heimasíðu þeirra; Ég gæti bara breyti lykilorð meira regularly-- það er ekki ljóst hversu viðkvæm öll þessi various-- þetta er súkkulaði-þakinn í raun. Stutta svarið, ég get ekki svarað því áhrifaríkan hátt, annað en að segja það var ekki þessi harður fyrir mig að finna nokkur af þessum dæmum bara fyrir sakir umræðu í fyrirlestri. Og bara að halda auga á Google News og aðrar auðlindir vilja koma allt meira af þessar tegundir af hlutum í ljós. 

Allt í lagi, við skulum gera með þessu prequel að liðið CS50 hefur undirbúið fyrir þér í aðdraganda CS50 Hackathon. Og á leiðinni út í stund, ávexti verður þjónað. [VIDEO Spilun] [TÓNLIST Fergie, Q TIP, AND GOONROCK, "A LITTLE PARTY ALDREI Killed enginn (ALL WE GOT) "] 

- [Hrotur] [END vídeó spilun] DAVID J. MALAN: Það er það fyrir CS50. Við sjáumst á miðvikudag. [TÓNLIST - SKRILLEX "Imma" TRY IT OUT "]