DAVID J. Malan: Tas ir CS50, un tas ir sākums 10. nedēļā. Jūs varat atgādināt, ka mēs esam parādīts uz ekrāna 3D printeri, kas tas ir ierīce, kas aizņem spoles plastmasas un tad extrudes to, karsējot to augšu un kušanas to, lai mēs varētu pēc tam veidot Chang armija ziloņi, piemēram. Tātad Leverett House, gan, nesen, es bija čatā ar vienu no savu klasesbiedri un draugs Chang s nosaukts Michelle, kas faktiski internēti šis cits uzņēmums pagājušajā gadā, ka ir atšķirīgs tehniku ​​faktiski radot trīsdimensiju objektus, patīk šī tiny maz zilonis šeit. Jo īpaši, kā tas darbojas ir, ka tas ir piemērs kaut sauc stereolitogrāfija, kuru tur ir šis baseins sveķiem vai šķidruma, un tad lāzera streiki, kas šķidrums, un pakāpeniski, ierīce lifti un pacēlāji un lifti lieta ka jūs drukāšanas, kā zilonis, kā šķidrums kļūst ciets. Un rezultāts, faktiski, ir kaut kas ir daudz stingrāka nekā daži plastmasas giveaways daži no jums varētu būt bijis. Un ko Chang laipni darīja mums šeit bija paveica Noilguma izmantojot fotogrāfijas gaitā stundu vai vairāk, droši vien, lai iegūtu šo puisis šeit. Vai kāds, kurš nekad nav jānāk klajā agrāk patīk nākt hit Start par šo video? Ļaujiet man iet ar, kā par tur. Nāciet uz augšu. Labi. Un jūs esat? Luke: Mans vārds ir Lūkas [nedzirdama]. DAVID J. Malan: Hi, Luke. Priecājos ar jums iepazīties. Luke: Prieks iepazīties. Mērķauditorija: Viņš darbojas UC. DAVID J. Malan: Es zinu, mēs cenšamies nevis veicināt. Viss ir labi, tāpēc Lūkas, visi Jums ir jādara šeit CS50 ir hit starpdevējs izdrukāt šo ziloni. [VIDEO PLAYBACK] - [MACHINE švīkstoša] - [CRASH] - [BOOM] - [CRASH] [END VIDEO PLAYBACK] DAVID J. Malan: Tātad tas ir tieši kas tas ir tāpat kā 3D print. Un šeit ir jūsu zilonis. Paldies par brīvprātīgo darbu. Labi. Tātad vēlreiz, vienu specifikācijā galīgais projekts, šī aparatūra, kas ir pieejams jums, puiši ir, kādu iemeslu dēļ, Jūsu projekts ir dažas krustojumu programmatūras un aparatūras, saprotam, ka tie tagad ir resursi. Es gribēju ņemt vienu brīdi pieskarties pēc Crimson raksts, kas iznāca vēlu pēdējā naktī, kas bija paziņot, ka šis puisis šeit, David Johnson, kurš ir bijis vecākais skolotājs par EK 10. uz ilgu laiku, atstāj Harvard beigām akadēmiskajā gadā. Un es tikai gribēju veltiet laiku, godīgi, pateikties Dāvidu priekšā CS50. Viņš ir bijis mentors no veidu pie mums gadu gaitā. Un es jūtos kā mēs, CS50, ir drīzāk uzauguši ar EK 10. šeit, jo tie ir tieši pirms mums. Un viņš un visa komanda EK 10 ir bijuši lieliski žēlīgs, atklāti sakot, kā mēs vazāt visās mūsu iekārtas katru nedēļu, un gadiem, sniedza lielu advokāta, jo mēs bijām ziņkārīgs par to, kā tie darbojas Ec 10. Lai mūsu pateicība un apbrīna David Johnson. [Aplausi] Tagad, unrelatedly, tāpēc gals ir patiešām tuvu. Mēs esam šeit, 10. nedēļā. Un mums ir tikai nupat pāris formālu nedēļas šeit klasē pa kreisi, kam seko ar pāris notikumiem. Tātad, lai dotu jums sajūtu par to, kas ir pie horizonta, šeit mēs esam šodien. Šo trešdien, atgādināt, mums būs vieslekciju neviens cits kā Microsoft pašu Steve Ballmer. Ja jūs esat vēl nav devusies uz cs50.harvard.edu/register, darīt, jo telpa tiks ierobežota. Un tie būs pārbaudīt ID pie durvīm šai dienai. Ja jūs nebūtu šeit pagājušajā nedēļā, es domāju, ka man ķircināt jums ar atšķirīgu izskatu pie Steve un uztraukums, ka mūs sagaida trešdien. [VIDEO PLAYBACK] -Passion. -We're Būs hardcore-- hardcore. -Innovator. -Bill Teica, jums nav get it. Mēs ejam, lai dators uz katra galda un katrā mājā, kas kļuva moto uzņēmumam. Es zvēru, Bill izgudroja to ka nakts tiešām man daži no vīziju Tāpēc es teiktu jā. Es nekad neesmu izskatījās atpakaļ, tiešām, pēc tam. , Svaigi no koledžas, viņš pievienojās putnēns starta un palīdzēja tam kļūt par vienu no Amerikas lielākā daļa veiksmīgu uzņēmumu jebkad. Dzīvības un bizness gūtās atziņas pa ceļam ļaut viņam atpakaļ viņa bērnības kaislība un mīlestība. Un šie pieredze ir sagatavojusi viņam par viņa nākamo izaicinājumu dzīvē. -Nekas Izpaužas mūsu way-- bums! Glabāt nāk hardcore! Go Clippers! -Tas Ir Steve Ballmer, "In My Own Words". [END VIDEO PLAYBACK] DAVID J. Malan: --this Trešdiena CS50. Dodies atkal uz šo URL šeit. Runājot par to, kas vēl ir pie horizonta, nākamnedēļ, neviena lekcija pirmdien. Bet mums būs pēc ar viktorīnu vienu trešdien. Iet uz CS50 mājas lapā sīkāku informāciju par cilvēkiem, vietām un laikiem visiem dažādu proctoring loģistika un tamlīdzīgi, kā arī par pārskata sesijas, kas ir gaidāms. Un tad, visbeidzot, pirmdien, dienu pirms nedēļas Pateicības pārtraukuma, saprotu, ka tas būs mūsu gala lekcija. Mēs kalposim torti un lielisks galā uztraukums, mēs ceram. Tagad, pāris citu atjauninājumiem. Paturiet prātā, ka statuss ziņojums, kas ir patiešām tikai domāts, lai būtu gadījuma mijiedarbība ar savu TF lepni norādīt tikai cik tālu kopā ar savu galīgais projekts jūs esat, vai vismaz kā veselība pārbaudiet, vai jums vajadzētu tuvojas, ka drīz pēc tam punktu. Tad Hackathon izriet. Realizēt Hackathon nav iespēja lai sāktu savu galīgo projektu, bet ir domāts, lai būtu iespēja ir vidū vai pret beigās savu galīgo projektu, īstenošanā pienācīgi maz dienas vēlāk, seko CS50 gadatirgū. Tagad, CS50 ražošana komanda, pirms pāris gadiem, salikt kopā teaser par CS50 izstādē, ka mēs domāju, mēs gribētu parādīt jums šodien, tāpēc, ka viņi ir bijuši grūti darbā par prequel par ka, jaunu video ka mēs noslēgt šodien. Bet šeit ir tas, ko jūs gaida šī gada CS50 gadatirgū. [VIDEO PLAYBACK] - [CELL PHONE Zvana] [MUSIC "TĒMA NO Neiespējamā misija:"] [END VIDEO PLAYBACK] DAVID J. Malan: Tātad tas ir tieši tā, kā mēs cieši projekta gala iesniegumus. Pāris tagad teasers-- ja vēlaties pievienoties Nick šeit pusdienās, kā parasti, tas Piektdiena, dodies uz šo URL šeit. Turklāt, ja vēlaties pievienoties Nick vai šo Nick vai tas Allison vai jebkura locekļi CS50 komanda, saprotu, ka neilgi pēc termina beigām, CS50 jau būs vervēšanu nākamā gada komandas, par SI, TFS, dizaineri, ražotāji, pētnieki un citi pozīcijas ka šeit darbojas CS50 gan priekšā un aizkulisēs. Tātad, ja tas varētu interesēt jums, doties uz šo URL šeit. Un studenti ērtāku, mazāk apmierināti, un kaut kur starp gan visi laipni un aicināti pieteikties. Tātad tas bija ideāls laiks, ka ne joks, šorīt, kad es pamodos, Man bija šī šeit spam manā pastkastītē. Tas faktiski paslīdēja izmantojot Gmail spam filtru kaut kā un beidzās manā faktisko inbox. Un tas saka: "Dārgais pastkaste lietotājs, tu esi šobrīd modernizētas 4 gigabaitu vietas. Lūdzu, piesakieties savā kontā lai apstiprinātu E-telpu. " Un tad tur ir tas jauki zilā vilinošs saite tur klikšķināt uz par pasniedzējiem un darbiniekiem, kas pēc tam lika man uz lieliski likumīgu lapu, kas man jautāja, lai dotu viņiem savu vārdu un e-pasta adresi, un, protams, paroli, lai apstiprinātu kas es esmu, un tā tālāk. Bet, protams, kā tas vienmēr notiek, jūs ieradīsieties šajā galvenajā lapā, un, protams, tur ir vismaz viens typo, kas, šķiet, nagla zārku kāds no šiem izkrāpšanu. Un mēs pēc, iespējams, kāds cits saites uz šiem ekrānuzņēmumus veidu nākotnē. Bet cerams, lielākā daļa cilvēku šīs telpas nav clicked-- vai pat, ja esat noklikšķinājis šādas saites, jo tas, Jums nav aizgājuši tik tālu, ka aizpildīt šīs formas un tā tālāk. Faktiski, tas ir OK, ja jums ir. Mēs cenšamies noteikt, ka šodien, jo, tiešām, šodienas saruna ir par drošību. Un, protams, ir viens no mērķi CS50 nav tik daudz, lai mācītu jums CE vai PHP vai JavaScript vai SQL vai kāds no šiem pamatā īstenošanas detaļas. Bet tas ir, lai dotu jums kā cilvēkiem tikai pieņemt gudrākus lēmumus, kā to attiecas uz tehnoloģijām leju ceļu, lai, vai jūs esat inženieris vai humānists vai zinātnieks vai jebkura cita loma, jūs padarīt apzinātus lēmumus par savu skaitļošanas izmantošanu, vai arī, ja tu esi lēmumu pieņemšanas amatu, politikā, it īpaši, jūs gūstat daudz, daudz labāki nekā lēmumi no cilvēki šodien daudz ir bijis. Un mēs to darām, veids, kā dažus piemērus. Pirmkārt, es biju diezgan pārsteigts nesen atklāt sekojošo. Tātad paroles, protams, ir tas, ko lielākā daļa no mums izmantot, lai aizsargātu mūsu data-- e-pastu, tērzēšanu, un visu veidu resursu, piemēram, ka veidus. Un tikai pēc awkward-- nerāda no rokas, bet samulsis izskatās kauns, cik daudzi no jums izmantot to pašu paroli ir daudz dažādas mājas lapas? Ak, OK, tāpēc mēs darīsim rokas. Labi, tāpēc daudzi no jums darīt. Ikviens, kas to dara, tikai kāpēc? Un ko? Yeah? Mērķauditorija: Tas ir viegli atcerēties, jo Jums nav jāatceras [nedzirdama]. DAVID J. Malan: Jā, tas ir viegli atcerēties. Tas ir pilnīgi pamatota, racionāla rīcība, pat ja riska jūs pakļaujat sevi pie šajos gadījumos ir tikai viena vai vairākas no šīm tīmekļa vietnes ir neaizsargāti pret hakeru vai nedrošs vai jūsu parole ir tikai tik darn guessable, ikviens var izdomāt to ārā. Ne tikai viens konts apdraudēta, bet teorētiski, jebkura konti jums ir internetā. Tāpēc es zinu, es varētu teikt šodien, ne izmantot to pašu paroli visur, bet tas ir daudz vieglāk pateikt, nekā izdarīt. Bet ir paņēmieni mazināt šo konkrēto problēmu. Tagad, es notikt, piemēram, lai izmantot programmu, ko sauc 1Password. Vēl viens populārs viens sauc LastPass. Un ķekars CS50 darbinieki izmantot vienu vai vairāku šo rīku veidu. Un garš stāsts īss, viens takeaway šodien vajadzētu būt, jā, iespējams, ir pašu paroli visur, bet tas ir ļoti viegli vairs darīt. Piemēram, šajās dienās, es zinu varbūt viens no maniem desmitiem vai simtiem paroļu. Visiem maniem citiem paroles ir pseido-nejauši rada vienu no šīm programmām šeit. Un īsumā, un pat lai gan lielākā daļa no šīm programmām mēdz nākt ar mazliet izmaksām, jūs varētu instalēt programmu, piemēram, tas, jums tad glabāt visas Jūsu lietotājvārdus un paroles iekšpusē šīs programmas savu Mac vai PC, vai plauktiņš, un tad tas būtu šifrēta datorā ar to, kas ir, cerams Īpaši garš paroli. Tāpēc man ir visu ķekars paroles atsevišķām tīmekļa vietnēm, un tad man ir patiešām gara parole, kas man izmantot, lai atbloķētu visas šie citi paroles. Un, kas ir jauka par programmatūru, piemēram, tas ir ka tad, kad jūs apmeklējat tīmekļa vietni, kas ir lūdzot savu lietotājvārdu un paroli, šajās dienās, man nav tipa savu lietotājvārdu un paroli, jo, atkal, es pat nezinu ko lielākā daļa no maniem paroles ir. Es nevis hit tastatūra saīsne, kura rezultāti ir, lai iedarbinātu šo programmatūru, lai ātri man par manu galveno paroli. Es tad ierakstiet ka viens liels paroli, un pēc tam pārlūkprogramma automātiski aizpilda kāds ir mans parole. Tātad, patiesi, ja Jūs lietojat nekas cits prom no šodienas ziņā paroles, tie ir programmatūra, kas ir vērts lejupielādējot vai ieguldot tik ka jūs varat vismaz pauze ka īpaši ieradums. Un, ja jūs esat tipu, kas ir izmantojot Post-It piezīmes vai like-- un atšķirība ir vismaz viens no jums is-- ka ieradums, pārāk, pietiek pateikt, būtu sadalīti. Tagad, man gadījās atrast, kā rezultātā izmantojot programmatūru, pēc. Es biju pasūtīšanu Ēdami Vienošanos, šis grozu augļu, nesen. Un es hit manu īpašu klaviatūru īsceļu, lai pieteiktos uz tīmekļa vietni. Un programmatūra izraisīja pop-up, kas teica, jūs esat pārliecināts, ka tu gribi, lai automātiski iesniegt šo lietotājvārdu un paroli? Tāpēc, ka savienojums ir nedrošs. Savienojums nav izmantojot HTTPS, drošai, Izmantojot šo protokolu, kas pazīstama kā SSL, Secure Sockets Layer. Un tiešām, ja paskatās augšējā kreisajā šajā mājas lapā, tas ir tikai www.ediblearrangements.com, nē HTTPS, kas nav tik laba. Tagad, es biju curious-- varbūt tas ir tikai kļūda programmatūru. Protams, dažas mājas lapas, piemēram, tas, ka daudzi no mums zina par ir vismaz izmantojot šifrēšanu vai HTTPS URL, lai pieteiktos jums. Tāpēc es saņēmu nedaudz ziņkārīgs šorīt. Un es saņēmu no manas CS50 prasmes, Es atvēra Chrome inspektors. Tas nav pat daudz prasme. Tas ir tikai hit pareizo tastatūru īsceļu, lai atvērtu šo augšu. Un šeit ir liels logs Chrome inspektors. Bet to, kas patiesībā bija maz traģiska un smieklīgi bija šīs divas līnijas šeit. Augšā, paziņojums URL ko mans lietotājvārds un parole tika iesniegti. Ļaujiet man tuvinātu. Tas bija tas šeit. Un tas viss ir veida neinteresanti, izņemot lieta visu ceļu pie kreisi, kas sākas ar http: //. Un tā tad, OK, varbūt viņi vienkārši nosūtot my username, kas ir nav tik liels darījumu. Varbūt mana parole izpaužas nosūtītas vēlāk. Tas būtu sava veida Interesants dizaina lēmums. Bet nē. Ja pēc tam paskatās pieprasījuma celtspēja, lietotājvārds un parole Es sent-- un es izsmēja tos kompensētu slide-- faktiski tika nosūtīti skaidrs. Tātad jūs iet uz šo īpašu tīmekļa vietni un pasūtīt Ēdami vienošanos, piemēram, tas, un, protams, acīmredzot, par šo visu Šoreiz es esmu pasūtīšanu no tiem, Jūsu lietotājvārds un parole iet pāri skaidrs. Tātad godīgi, tas ir pilnīgi nepieņemami. Un tas ir tik niecīgs, lai izvairītos no lietas piemēram, tas kā dizainers mājas lapā un kā programmētājs mājas lapā. Bet takeaway šeit mums kā lietotājiem tīmekļa vietnes ir tikai novērtēt, ka visi tā pieņem, ir viena stulba dizainu lēmumu, neattaisnojama dizaina lēmums, tā, ka tagad, ja jūs zināt, mana parole ir "Tumšsarkanā" par šo mājas lapā, jūs esat droši vien tikko iekāpa visu ķekars citas mājas lapas, kas man tagad ir. Un tur nav daudz aizsardzība pret to izņemot to, ko šorīt Chang darīja. Viņš devās uz Ēdami vienošanās, kas atrodas pa ielu Kembridžā, un fiziski nopirka to mums. Tas bija daudz drošāka nekā izmantojot tīmekļa vietni, šajā gadījumā. Bet detalizēti, lai saglabātu acu, kas paredzēti faktiski to, kas ir pārlūka up augšu tur. Bet pat tas var būt nedaudz maldinošs. Tātad vēl viens interesants piemērs un veids, kā aizstāvēt pret this-- un faktiski, pieņemsim to, ka first-- ceļu aizstāvēt pret to ir paņēmiens ka drošības cilvēki zvaniet divu faktoru autentifikāciju. Vai kāds zina, kāda risinājumu problēmas, piemēram, tas nozīmē? Kas ir divu faktoru autentifikācijas? Vai nodot citu ceļu, kā daudzi no jums, izmantojot to? Labi, tāpēc pāris kautrīgi cilvēki. Bet jā. Es redzēju savu roku iet uz augšu. Kas ir divu faktoru autentifikācijas? Mērķauditorija: Būtībā, papildus lai ierakstot savu paroli, Jums ir arī sekundārā [dzirdams] nosūtīta, izmantojot īsziņu uz tālruni pie [nedzirdama]. DAVID J. Malan: Tieši tā. Papildus sava pirmformu autentifikāciju, piemēram, paroles, jūs lūdza sekundārā faktors, kas parasti ir kaut kas jums ir fiziski par jums, lai gan to var būt kaut kas cits pavisam. Un tas ir tas parasti Mobilais šajās dienās, kas jums nosūtīja pagaidu īsziņu, kurā teikts, "Jūsu pagaidu caurlaide kods ir 12345." Tātad papildus manā parole "tumšsarkanā," es arī ir tipa neatkarīgi mājas lapā ir sastādītas mani. Vai ja jums ir to ar banka vai ieguldījumu konts, jums dažkārt ir šie maz dongles ka faktiski ir pseidogadījuma skaitļu ģenerators iebūvēts tiem, bet gan ierīce un banka zināt, kādas ir jūsu sākotnējais sēkla tā, ka tie ir zināms, pat kā maz kodu savā maz atslēgu FOB gājienus uz priekšu katru minūti vai divi, mainās vērtības, Tātad tas vērtību pārmaiņas uz bankas servera tā, ka tie var līdzīgi autentiskumu Jūs, ne tikai ar savu paroli, bet ar šo laiku kodu. Tagad, jūs faktiski var darīt Google. Un godīgi sakot, tas ir labs ieradums, lai nokļūt, it īpaši, ja jūs izmantojat Gmail visu laiku uz pārlūku. Ja jūs iet uz šo URL šeit, kas ir slaidi tiešsaistē šodien, un pēc tam noklikšķiniet uz 2-Step pārbaude, pats aktuālā lieta tur. Jums tiks piedāvāts, lai dotu viņiem savu mobilā tālruņa numuru. Un tad, jebkurā laikā jūs ieiet Gmail, jums tiks ne tikai jautāts par savu paroli, bet arī maz kodu, kas izpaužas nosūtīts uz jūsu tālruni īslaicīgi. Un tik ilgi, cik jūs esat sīkdatnes, un tik ilgi, kamēr jums nav skaidri atteiktos, jums ir tikai to darīt, ka vienu reizi awhile, kā tad, kad tu apsēdies pie jaunu datoru. Un otrādi arī šeit, ir, ja jūs apsēsties kādā interneta kafejnīcā stilā dators vai vienkārši drauga datoru, pat ja šo e-pastu ļaunprātīgi vai neapzināti ir dažas tastatūra malkas cirtējs uzstāda uz sava datora, tā, ka viss jums veids ir pieteicies, Vismaz to, ka otro faktoru, ka pagaidu kods, ir īslaicīgi. Lai viņš vai viņa, vai kurš ir apdraudēta dators nevar ieiet jums vēlāk, pat tad, ja viss pārējais bija neaizsargāti vai pat nešifrētā vispār. Facebook ir arī tas, ar šo URL šeit, kur jūs varat noklikšķināt uz Login apstiprinājumu. Tātad arī šeit, ja jums nav vēlas draugi kule cilvēkus, Jūs nevēlaties būt poking Facebook vai nosūtīt statusa atjauninājumus, divu faktoru autentifikācijas šeit ir iespējams, laba lieta. Un tad tur ir šis Otra metode vispār, tikko audits, kas ir vēl laba lieta mums cilvēki, ja divu faktoru izrādās kaitinošas, kas, protams, tas ir iespējams, vai arī tas vienkārši nav pieejams kādu mājas lapu, minimāli sekojot līdzi arī tad, ja un kad jūs ieejot vietās, ja viņi ļauj jums, ir labs paņēmiens, too. Tātad Facebook arī dod jums šo pieteikšanās paziņojumi iezīme, kuru jebkurā laikā Facebook saprot, hm, Deivids ir pieteicies no kāda datora vai tālruni ka mēs nekad neesmu redzējis no IP adrese, kas izskatās svešs, tie būs vismaz nosūtīt jums e-pastu uz kāda e-pasta adresi Jums ir par failu, sakot, tas izskatās aizdomīgs? Ja tā, tad nekavējoties nomainiet paroli. Un tā arī tur, tikko audits uzvedība pat pēc tam, kad esat bijis apdraudēta, var vismaz sašaurināt logu laikā kas jums ir neaizsargāti. Labi, kādi jautājumi šajā sīkumi līdz šim? Šodien ir diena, lai saņemtu visu Jūsu paranoja apstiprinājusi, ne noliegusi. Tas ir galvenokārt apstiprināja, diemžēl. Yeah? Mērķauditorija: [dzirdams] tālruni, Ko darīt, ja jūsu tālruņa pārtraukumiem, un tad tas vienmēr ir grūti verify-- DAVID J. Malan: True. Mērķauditorija: Vai, ja tu esi atšķirīgs valsts, un tie neļauj jums pieteikties, jo [nedzirdama]. DAVID J. Malan: Protams. Un tāpēc tie ir papildu izmaksas, kas jums rasties. Tur vienmēr šī tēma Preču-off, galu galā. Un tad, ja jūs zaudējat savu tālruni, ja tas saplīst, ja esat ārzemēs, vai arī jūs vienkārši nav signālu, piemēram, 3G vai LTE signālu, jūs varētu faktiski nav varēs autentificēt. Tātad vēlreiz, šie divi ir kompromisi. Un dažreiz, tas var radīt darba jums, kā rezultātā daudz. Bet tas tiešām ir atkarīgs, tad uz kāda gaidāms cenu, lai jums ir kaut būtni apdraudēta vispār. Tātad SSL, tad, tas ir paņēmiens, kas mēs visi parasti uzskatām par pašsaprotamu vai uzņemties ir tur, pat ja tas noteikti nav tas gadījums. Un jūs joprojām varat maldināt cilvēki, lai gan, pat ar to. Tātad, šeit ir piemērs bankas. Tas ir Bank of America. Tur ir viss ķekars no šiem Purvciema laukumā un ārpus tās. Un paziņojums, ka pašā augšā ekrāns, tur, protams, HTTPS. Un tas ir vēl zaļš un uzsvēra mums , lai norādītu, ka tas ir patiešām likumīgi drošu tīmekļa vietnē, vai tāpēc mēs esam apmācīti domāt. Tagad, turklāt, ka, lai gan, paziņojums, ka, ja mēs tuvinātu, tur ir šī lieta šeit, kur jūs esat piedāvāts pieteikties. Ko tas nozīmē atslēga tiesības tur, blakus manam lietotājvārdu ātri? Tas ir diezgan bieži vietnēs, too. Ko tas nozīmē atslēga? Jums šķiet, kā jūs zināt. Mērķauditorija: Tas nenozīmē neko. DAVID J. Malan: Tas nenozīmē neko. Tas nozīmē, ka Bank of America zina, kā rakstīt HTML ar attēlu tagus, vai ne? Tas patiesi ir nekas, jo pat mēs, izmantojot pirmo dienu mūsu izskatu pie HTML, var kodēt up lapu ar sarkana fona un attēlu, piemēram, GIF vai plauktiņš, šī notiek, lai izskatās piekaramo atslēgu. Un tomēr, tas ir super sastopama tīmekļa vietnēs, jo mēs esam bijuši apmācīti uzņemties ka, ak, atslēga ir droša, ja tas tiešām tikai nozīmē, ka jūs zināt HTML. Piemēram, atpakaļ dienā, es varētu tikko likts šo par manu mājas lapā, apgalvojot, ka tā ir droša, un jautā, efektīvi, par cilvēku lietotājvārdiem un parolēm. Tātad, skatoties URL ir Vismaz labāku pavediens, jo tas ir iebūvēts Chrome vai kāds pārlūkprogrammu jūs izmantojat. Bet pat tad, dažkārt lietas var noiet greizi. Un patiesībā, jūs nevarēsiet vienmēr skat HTTPS, nemaz nerunājot zaļā krāsā. Vai kāds no jums kādreiz redzējis ekrāns kā šis? Jums varētu būt, patiesībā, agrāk oktobrī, kad es aizmirsu, lai samaksātu par mūsu SSL sertifikātu, kā to sauc, un mēs meklējām, piemēram tas uz stundu vai divām. Tātad jūs esat, iespējams, redzējuši lietas kā šis, ar streiku-through, kā sarkano līniju, izmantojot protokols URL vai kāda veida ekrāns, kas ir vismaz admonishing tevi par mēģinājumu, lai turpinātu darbu. Un Google šeit aicinot jums iet atpakaļ uz drošību. Tagad, šajā gadījumā, tas tikai nozīmē, ka SSL sertifikātu, kas mums bija, izmantojot, lielie, matemātiski noderīgas numuri kas ir saistīti ar CS50 serveri, vairs nebija spēkā. Un patiesībā, mēs varam simulēt to, kā jūs varat par jūsu klēpjdators. Ja es iedziļināties Chrome šeit un iesim uz facebook.com, un izskatās, ka tā ir droša. Bet ļaujiet man iet uz priekšu un tagad noklikšķiniet uz piekaramo atslēgu šeit. Un ļaujiet man iet uz Connection, Apliecība informācija. Un tiešām, ko jūs skatiet šeit ir ķekars zemākā līmeņa informācija par kurš facebook.com patiešām ir. Šķiet, ka viņi ir samaksājuši naudu kompānija sauc varbūt DigiCert High Pārliecība, ka ir apsolījis pateikt pārējo pasauli ka, ja pārlūkprogramma kādreiz redz certificate-- jūs varat iedomāties par to burtiski kā sertifikātu, kas izskatās, ka stilīgs lieta augšā left-- tad facebook.com ir, kas viņi saka tie ir, jo visu šo laiku, kad jūs apmeklējat tīmekļa vietni, piemēram, cs50.harvard.edu vai facebook.com vai gmail.com, kas izmanto HTTPS URL, aiz kulisēm, tur ir šāda veida darījuma notiek automātiski jums, saskaņā ar kuru facebook.com, šajā gadījumā, sūta pārlūkprogrammas tās tā saukto SSL sertifikātu, vai, pareizāk sakot, tā publisko atslēgu, un tad jūsu pārlūkprogramma izmanto šo publisko atslēgu lai pēc tam nosūtītu šifrētu satiksme uz un no tā. Bet tur ir visa šī hierarhija pasaulē uzņēmumu ka jūs maksājat naudu, kas būs tad liecības, digitālā nozīmē, ka jūs patiešām esat facebook.com vai jūsu serveris ir patiešām cs50.harvard.edu. Un iebūvēts pārlūkprogrammās, piemēram, Chrome un IE un Firefox, ir saraksts ar visiem tiem tā saukto sertifikāts iestādes kas ir atļauts ar Microsoft un Google un Mozilla apstiprināt vai noliegt, ka facebook.com ir, kas saka, ka tā ir. Bet nozveju, ka šīs lietas beidzas. Patiesībā, Facebook s izskatās tas beidzas nākamo October, 2015. Tātad, mēs faktiski var simulēt šo, ja es iet manu Mac uz manu System Preferences, un es iedziļināties datums un laiks, un Es iedziļināties Datums un laiks šeit un es atslēgt šo here-- laimi, mēs neatklāja paroli šis LAIKU_ un tagad man iet uz leju, izņemiet to. Un pieņemsim actually-- Ups, tas ir nav tik interesanti, kā to izdarīt. Mēs esam burtiski nākotnē tagad, kas nozīmē, ka šis ir tas, kas 2020. gadam ir līdzīgi. Ja es tagad pārlādēt page-- Darīsim to Ingognito mode-- ja es pārlādēt lapu, tur mēs ejam. Tāpēc tagad, mans dators domā tas ir 2020. gadā, bet mana pārlūkprogramma zina, ka šis sertifikāts no Facebook beidzas, protams, 2015. gadā. Tātad tas, kas man šo sarkano ziņu. Tagad, par laimi, pārlūki tāpat kā Chrome ir reāli padarīja diezgan grūti turpināt tomēr. Viņi patiešām vēlas mani doties atpakaļ uz drošību. Ja es noklikšķiniet šeit Advance, tas ir dodas uz man pateikt, kādu sīkāku informāciju. Un, ja es tiešām gribu rīkoties, tie būs let man iet uz facebook.com, kas ir, atkal, nedroši, kurā brīdī Tiksimies Facebook mājas lapu, kā šis. Bet tad citas lietas šķiet, ir sadalīšana. Kas, iespējams, pārkāpj šajā brīdī? AUDITORIJA: JavaScript. DAVID J. Malan: Like Javascripts un / vai CSS faili ir līdzīgi sastopas ar šo kļūdu. Tātad tas ir tikai slikta situācija kopumā. Bet punkts šeit ir tas, ka vismaz Facebook tiešām ir SSL saviem serveriem, kā daudzas tīmekļa vietnes, darīt, bet ne vienmēr viss. Bet tas nav vienīgais takeaway šeit. Izrādās, ka pat SSL ir pierādīta būt nedrošs kaut kādā veidā. Tāpēc es esmu veida hinting, ka SSL, laba. Meklējiet HTTPS URL, un dzīve ir labi, jo visi jūsu HTTP satiksmi un galvenes un saturs tiek šifrēta. Neviens nevar pārtvert to vidū, izņemot tā saukto cilvēks vidū. Tas ir vispārīgs paņēmiens pasaules drošības pazīstams kā man-in-the-vidū uzbrukums. Pieņemsim, ka tu esi tas maz klēpjdators vairāk nekā šeit, kreisajā pusē, un pieņemsim, ka jūs cenšaties apmeklēt serveris tur labajā pusē, piemēram, facebook.com. Bet pieņemsim, ka starp jums un Facebook, ir viss ķekars citiem serveriem un iekārtas, piemēram, slēdži un maršrutētāju, DNS serveri, DHCP serveri, neviens no kuriem mēs kontrolēt. To var kontrolēt ar Starbucks vai Harvard vai Comcast vai tamlīdzīgi. Nu, pieņemsim, ka kāds ļaunprātīgi, tīklā, starp jums un Facebook, var pateikt jums ka jūs zināt, ko, IP adrese Facebook nav tas, ko jūs domājat, ka tas ir. Tas ir tas IP vietā. Un tā pārlūkprogrammas tricked pieprasot satiksme no cita datoru vispār. Nu, pieņemsim, ka dators vienkārši izskatās vispār no satiksmes jūs pieprasīt no Facebook un visas interneta lapas ka jūs pieprasot no Facebook. Un jebkurā laikā tā saskata trafika URL, kas sākas ar https, tā dinamiski, uz lidot, pārraksta to kā HTTP. Un jebkurā laikā tā uzskata vietu header, atrašanās vietu resnās zarnas, tāpat kā mēs izmantojam novirzīt lietotāju, tie arī var mainīt ar šo cilvēks vidū no HTTPS HTTP. Tātad, pat ja jūs pats varētu Domāju, ka jūs esat pie reālo Facebook, tas nav tik grūti Pretinieks ar fizisku piekļuvi uz savu tīklu, lai vienkārši atgriezties lapas jums, ka izskatās Gmail, ka izskatās Facebook, un tiešām URL identiski, jo viņi izliekoties ir, ka pašu uzņēmējas nosaukumu tāpēc, ka daži izmantošanas DNS vai kādu citu sistēmu, piemēram, ka. Un rezultāts, tad ir ka mēs cilvēkiem varētu tikai apzināties, ka, OK, tas izskatās Gmail vai vismaz vecāku versiju, jo tas ir slaids, no vecāki prezentācija. Bet tas izskatās this-- http://www.google.com. Tātad arī šeit, realitāte ir tas, ka, cik daudzi no jums, kad iet uz Facebook vai Gmail vai kādu mājas lapā un jūs zināt mazliet kaut par SSL, cik daudzi no jums fiziski tips https: // un tad mājas lapā nosaukt, Enter. Lielākā daļa no mums vienkārši ierakstiet, piemēram, CS50, hit Enter, vai F-Facebook un hit Enter, un ļaujiet tai auto-pilnīgs. Bet aiz ainas, ja jūs skatīties jūsu HTTP satiksmi, tur droši vien viss ķekars Šo atrašanās galvenes kas sūta jums Facebook uz www.facebook.com līdz https://www.facebook.com. Tā ka ir viens vai vairāki HTTP darījumus kur jūsu informācija ir pilnīgi nosūtīts skaidri, bez šifrēšana whatsoever. Tagad, kas varētu nebūt tik liels galā, ja visi jūs mēģināt darīt ir piekļūt mājas lapā, jūs neesat sūtot savu lietotājvārdu un paroli. Bet kas tas ir zem kapuce, īpaši PHP balstītas tīmekļa vietnes, kas ir arī tiek nosūtīti uz priekšu un atpakaļ, kad jūs apmeklējat kādu tīmekļa lapu, ja ka mājas lapa izmanto, teiksim, PHP un īsteno funkcionalitāti, piemēram pset7? To, kas tiek nosūtīts uz priekšu un atpakaļ jūsu HTTP galvenes, kas deva jums piekļuve šo pretty noderīga super pasaules PHP? Mērķauditorija: Cookies. DAVID J. Malan: Cookies, īpaši PHP sess ID cookie. Tātad atceramies, ja mēs ejam uz, teiksim, cs50.harvard.edu atkal, bet šoreiz, pieņemsim atvērt Tīkla cilnes, un tagad, šeit, pieņemsim burtiski tikai iet uz http://cs50.harvard.edu un pēc tam nospiediet taustiņu Enter. Un tad skatīties uz ekrānu uz leju šeit. Ievērojiet, ka mēs patiešām saņēmām atpakaļ 301 pastāvīgi pārvietotajiem ziņojums, kas nozīmē, ka tur vietu header šeit kas pašlaik tiek novirzīta man HTTPS. Bet nozveju, ka, ja man jau bija cookie uzspiež uz manu roku praktiski, kā mēs esam apspriests agrāk, un Es cilvēka veida neapzināti vienkārši apmeklēt nedrošs versija, un mana pārlūkprogramma ņem to uz sevi, lai pierādītu, ka roku marku pirmā pieprasījuma, kas ir caur HTTP, kāds vidū, jebkura Pretinieks vidū, teorētiski var tikai redzēt šie HTTP galvenes, tikai kā mēs meklējam pie viņiem šeit. Tas ir tikai tad, kad tu esi runā ar HTTPS URL nav, ka roku zīmogs pati nokļūt šifrēta, la Caesar vai Vigenere, bet ar mīļotājs algoritmu vispār. Tātad arī šeit, pat ja tīmekļa vietnes izmanto HTTPS, mēs cilvēki ir kondicionieri, pateicoties lai auto-pilnīgs un citiem paņēmieniem, nav pat domāt par iespējamā ietekme. Tagad tur ir veidi, ap to. Piemēram, daudzi mājas lapas var konfigurēt tā, ka, ja jums ir šī roku zīmogs, jūs varat pateikt pārlūku, šī roka zīmogs ir tikai SSL savienojumu. Pārlūks nevajadzētu radīt tas ar mani, ja vien tas ir beidzies SSL. Bet daudzas mājas lapas nav apnikt ar to. Un daudzas mājas lapas acīmredzot nav pat apnikt ar SSL vispār. Tātad, vairāk par to, tur ir patiesībā vēl vairāk netīrumu šajā prezentācijā ka puisis sniedza pie tā sauktā melnā cepure konference pirms pāris gadiem, kur tur pat citu ļaunprātīgas triku cilvēki ir lietojuši. Jūs varētu atgādināt to jēdziens favicon, kas ir kā mazs logo, kas ir bieži pārlūka logā. Nu, kas ir bijis kopīgs starp sliktajiem zēniem ir lai Fab ikonas, kas izskatās, ko? Mērķauditorija: [dzirdams]. DAVID J. Malan: Say atkal? Mērķauditorija: Mājas lapas. DAVID J. Malan: Nav mājas lapā. Tātad favicon, tiny maz ikona. Kāda būtu visvairāk ļaunprātīgs, manipulatīvas lieta jūs varētu padarīt jūsu mājas lapas noklusējuma ikona izskatās? Mērķauditorija: zaļa atslēga. DAVID J. Malan: Kas tas ir? Mērķauditorija: maz zaļo atslēga. DAVID J. Malan: Like zaļā atslēga, tieši tā. Tātad jūs varat būt šo estētisko par maz zaļo piekaramo atslēgu, hinting pasaulei, ak, mēs esam drošu, kad, atkal, viss tas nozīmē ir tas, ka jūs zināt, kādu HTML. Tātad sesija nolaupīšana attiecas uz tieši tā. Ja jums ir kāds, kas ir sava veida sniffing radioviļņos šajā telpā šeit vai ir fiziska piekļuve tīklu un var redzēt savas sīkdatnes, viņš vai viņa var paķert, ka PHP sess ID cookie. Un tad, ja viņi savvy pietiekami zināt Kā nosūtīt šo cookie kā savu roku zīmogs vienkārši nokopējot šo vērtību un nosūtot HTTP galvenes, kāds varētu ļoti viegli ieiet kāds no Facebook kontiem vai Gmail konti vai Twitter konti, kas ir šeit, atklātas istabā, ja jūs neizmantojat SSL un, ja mājas lapa ir neizmantojat SSL pareizi. Tātad, pieņemsim pāreja uz citu. Tātad cits patiess stāsts. Un tas tikai izputējis ziņas nedēļu vai divas atpakaļ. Verizon ir darījis Ļoti ļaunums lieta, un kā labākie cilvēki var pateikt, Vismaz kopš 2012. gada, saskaņā ar kuru, kad jūs piekļūt tīmekļa vietnēm, izmantojot Verizon Mobilais, neatkarīgi no ražotāja tas ir, tie ir pārgalvīgi, kā stāsts iet, injicējamo uz visiem jūsu HTTP satiksme savu HTTP galvenes. Un ka header izskatās tāpat this-- X-UIDH. UID ir kā unikāls identifikators vai lietotāja ID. Un X tikai nozīmē, ka šis ir pasūtījuma header tas nav standarta. Bet ko tas nozīmē ir tā, ka, ja es pieturēt, Piemēram, kāda mājas lapa Tālrunī here-- un es esmu, izmantojot Verizon kā manu carrier-- lai gan mana pārlūkprogramma, iespējams, nav sūtīt šo HTTP header, Verizon, tiklīdz kā signāls sasniedz savus Mobilais tornis kaut kur, ir bijis kādu laiku injicēšanas šis header uz visiem mūsu HTTP satiksmi. Kāpēc viņi to dara? Jādomā par izsekošanas dēļ, reklāmas dēļ. Bet moronic dizaina lēmums šeit ir, ka HTTP galvenes, kā jūs guys zināt no pset6, tiek saņemta ar jebkuru tīmekļa serveri ka jūs esat lūdzot satiksmi. Tātad visu šo laiku, ja Jūs esat apmeklējot Facebook vai Gmail vai jebkuru mājas lapā kas neizmanto SSL visu LAIKU_ un faktiski tie, divi laimi tagad do-- bet citas mājas lapas, kas neizmanto SSL visu laiku, Verizon ir būtībā ir stādīšanas, piespiedu kārtā, roku zīmogs uz visiem mūsu rokas, ka pat mēs neredzam, bet, gala mājas lapas darīt. Un tā nav bijis, ka grūti ikviens internetā darbojas tīmekļa serveri saproti, ooh, tas ir David, vai, ooh, tas ir Davin, pat ja mēs esam stingra par klīringa mūsu sīkdatnes, jo tas nav nāk no mums. Tas nāk no pārvadātāja. Tie lookup uz tālruņa numuru un tad saka, ak, tas ir David. Ļaujiet man injicēt unikālu identifikatoru, lai ka mūsu reklāmdevējiem vai tas, kurš var sekot to. Tātad, tas ir tiešām ļoti, ļoti, ļoti slikti un šausminošs. Un es aicinu jūs paskatīties, piemēram, Šajā URL, ko es būtu atsakāmies Es šorīt tiešām mēģinājuši to. Es uzrakstīju mazu skriptu, nodot to šajā URL, apmeklēja to ar savu Verizon Mobilais pēc pagrieziena Wi-Fi off. Tātad jums ir, lai ieslēgtu Wi-Fi pie tā, ka jūs, izmantojot 3G vai LTE vai tamlīdzīgi. Un tad, ja jūs apmeklējat šis URL, viss šis skripts dara jums puiši, ja jūs vēlaties spēlēt, tas atklepo kādi HTTP galvenes tālrunis sūta uz mūsu serveri. Un es tiešām, taisnīgumu, darīja neredz šorīt, kas man liek domāt vai nu vietējā Mobilais tornis man bija saistīts ar vai plauktiņš nedara to, vai tie esam atkāpās, kā to izdarīt uz laiku. Bet, lai iegūtu vairāk informācijas, doties uz šo URL šeit. Un tagad this-- šo komikss varētu jēgas. Nē? OK. Labi. Ka nomira. Labi. Tātad, pieņemsim to apskatīt pāris vairāk uzbrukumiem, ja tikai, lai palielinātu informētību par un pēc tam piedāvāt pāris iespējamie risinājumi tā, ka jūs visi vairāk apzinās. Tas viens mēs runājām par otru dienu, bet nedeva vārdu uz to. Tas ir pārrobežu vietas pieprasījumu viltošana, kas ir pārāk iedomātā veidā pasakot jūs triks lietotājs noklikšķinot uz URL, piemēram, tas, kas triku Them par kādu rīcību, kas viņi neplāno. Šajā gadījumā, tas šķiet kas mēģina triks mani par pārdošanas manu akcijas Google. Un tas izdosies, ja Es, programmētājs pset7, vēl nav izdarīts tas, ko? Vai drīzāk, vispārīgāk, kādā lietas man neaizsargāti pret uzbrukumu Ja kāds triku cita lietotāja uz noklikšķinot URL līdzīgs šim? Yeah? Mērķauditorija: Jums nav atšķirt starp GET un POST. DAVID J. Malan: Labi. Ja mums nav atšķirt starp GET un POST, un, protams, ja mēs ļaujam GET pārdošanas lietām, mēs aicinām šāda veida uzbrukums. Bet mēs joprojām varētu mazināt to nedaudz. Un es komentēja, es domāju, pagājušajā nedēļā, ka Amazon vismaz mēģina mazināt to ar tehniku tas ir diezgan vienkārši. Kas būtu smart lieta darīt būt uz servera, nevis tikai akli pārdot kāds simbols lietotāja tipus? Mērķauditorija: Apstiprinājums par veidu? DAVID J. Malan: apstiprinājuma ekrāns, kaut iesaistot cilvēka mijiedarbību tāpēc, ka es esmu spiests padarīt spriedumu zvanu, pat ja es esmu naivi noklikšķinājis saite, kas izskatās šādi un lika man šūnu ekrānu, pie Vismaz man lūdza apstiprināt vai noliegt. Bet nav nekas neparasts uzbrukums, it īpaši ts pikšķerēšanu vai surogātpastu līdzīgu uzbrukumiem. Tagad šī viena ir nedaudz vairāk izsmalcināts. Tas ir pārrobežu vietas skriptu uzbrukums. Un tas notiek, ja jūsu mājas lapa neizmanto ekvivalents htmlspecialchars. Un tas ir ņemot lietotāja ievadi un vienkārši akli injicējot to mājas lapā, kā ar apdruku vai atbalss, with-- again-- out aicinot kaut ko piemēram htmlspecialchars. Tātad pieņemsim, ka mājas lapā Jautājums ir vulnerable.com. Un domāju, ka tas piekrīt parametrs sauc Q. Paskaties, kas varētu notikt Ja es tiešām, slikts puisis, ierakstiet vai triks lietotājs apmeklējot URL, kas izskatās kā this-- q = atvērta skripts tag, slēgta skriptu tag. Un atkal, es esmu pieņemot ka vulnerable.com nav gatavojas pārvērst bīstami rakstzīmes, piemēram, atvērtām iekavām HTML vienībām, & zīme, L-T, semikols lieta ka Jums varētu būt redzējis. Bet kas ir skripts vai JavaScript kodu Es cenšos triks lietotāju par izpildes? Nu, document.location atsaucas uz manu pārlūka pašreizējo adresi. Tātad, ja man document.location =, tas man ļauj novirzīt lietotāju JavaScript uz citu tīmekļa vietni. Tas ir tāpat kā mūsu PHP funkciju novirzīt, bet darīts JavaScript. Kur es cenšos nosūtīt lietotājs? Nu, acīmredzot, badguy.com/log.php, kas ir daži skripts, acīmredzot, slikts puisis rakstīja, ka notiek parametrs sauc cookie. Un paziņojums, ko es varu šķiet concatenating uz beigās, ka vienādības zīme? Nu, kaut kas saka document.cookie. Mēs neesam runājuši par to. Bet izrādās, it JavaScript, tāpat kā PHP, Jūs varat piekļūt visiem cookies ka jūsu pārlūkprogramma ir faktiski izmanto. Tātad, ietekmi uz šo vienu rindiņu kodu, ja lietotājs ir tricked uzklikšķinot uz šīs saites un mājas lapā vulnerable.com nav aizbēgt ar htmlspecialchars, ir tas, ka jums ir tikai efektīvi augšupielādēti log.php visas jūsu cookies. Un tas ne vienmēr ir problemātiska, izņemot, ja viens no šiem cookies ir jūsu sesijas ID, jūsu tā saukto roku zīmogs, kas nozīmē badguy.com var izdarīt viņa paša HTTP pieprasījumus, nosūtot šo pašu roku zīmogs, ka pats cookie galvenes, un ieiet jebkurā mājas lapā Jums bija iespēja apmeklēt, kas šī lieta ir vulnerable.com. Tas ir pārrobežu vietas skriptu uzbrukums nozīmē ka jūs esat veida tricking vienā vietā uz stāstīšana citā tīmekļa vietnē par kādu informāciju tā nedrīkst, patiesībā, ir pieeja. Viss ir labi, gatavs par vienu cita satraucoša detaļa? Viss ir labi, pasaule ir biedējošu vietu, likumīgi darīt. Lūk, vienkāršs JavaScript, piemēram, tas ir šodienas pirmkodu sauc ģeogrāfiskās 0 un 1. Un tur ir pāris walkthroughs internetā par šo. Un tas seko, ja I atvērt šo tīmekļa lapu Chrome. Tas pirmo reizi nav nekas. Labi, mēs cenšamies to vēlreiz. Oh. Nē, tas ir kaut kas jādara. OK, stāvēt. Mēģināsim to vēl vienu reizi. [Dzirdams] Ah, OK, nav pārliecināts, kāpēc the-- oh, ierīce iespējams, zaudējis internetā Pieeja kāda iemesla dēļ. Viss ir labi, lai notiek ar mani, too. Labi, tāpēc paziņojums to, kas notiek šeit. Šis mistisks izskata URL, kas ir tikai viens no CS50 servera, grib izmantot manu datora atrašanās vietu, piemēram, fiziski tas nozīmē. Un, ja, protams, es noklikšķiniet uz Atļaut, pieņemsim redzēt, kas notiek. Acīmredzot, tas ir mans pašreizējais platuma un garenvirziena koordinē leju ar diezgan darn labu rezolūciju. Tātad, kā es nonācu pie šo? Kā šo tīmekļa vietni, piemēram, CS50 serveri, zina fiziski kur pasaulē Es esmu, nemaz nerunājot ar šo precizitāti. Nu, izrādās out-- pieņemsim tikai paskatās uz lapas source-- ka šeit ir ķekars HTML at apakšējā ka vispirms ir this-- body onload = "| Uzzināt vairāk" - tikai funkcija es uzrakstīju. Un es saku, iekraušanas lapa, zvaniet | Uzzināt vairāk. Un tad tur nekas organismā, jo galvā lapas, paziņojums, kas man ir šeit. Te ir mana | Uzzināt funkcija. Un tas ir tikai dažas kļūdas checking-- ja par navigator.geolocation veids nav definēts. Tātad JavaScript ir šis mehānisms, kur jums var teikt, kāda ir Šī mainīgā veidu? Un, ja tas nav undefined-- tas nozīmē, ka tā ir sava value-- Es esmu dodas uz zvanu navigator.geolocation.getCurrentPosition un tad atzvanīšanas. Kas tas ir? Tātad kopumā, kas ir atzvanīšanas, tikai, lai būtu skaidrs? Jūs, iespējams, ir radušās tas jau pset8. Atzvans ir vispārējs termins dara ko? Jūtas kā tikai mani šodien. Mērķauditorija: [dzirdams]. DAVID J. Malan: Tieši tā, funkcija, kas būtu saukt tikai tad, kad mums ir dati. Šis aicinājums pārlūku, saņemt savu pašreizējo amats, var veikt vienu milisekundi, tas var aizņemt minūti. Ko tas nozīmē mums stāsta get getCurrentPosition metode, nosaukt šo atzvanīšanas funkciju, ko es burtiski nosaukts atzvanu vienkāršības, kas acīmredzot ir šeit, tas viens. Un kā getCurrentPosition darbojas, vienkārši izlasot dokumentus kādu JavaScript kodu tiešsaistē, ir ka tas prasa, ka tā sauktā atzvanu funkcija, iet to tas JavaScript objekts, iekšā kas ir .coords.latitude un .coords.longitude, kas ir tieši tā, kā, tad, kad es pārkrauts šo lapu, Man bija iespēja redzēt savu atrašanās vietu šeit. Tagad, vismaz tur bija aizsardzības šeit. Pirms es apmeklēju šo lapu, kad tas faktiski strādāja, ko es biju vismaz pamudināja? Mērķauditorija: [dzirdams]. DAVID J. Malan: Jā vai no-- darīt Jūs vēlaties, lai atļautu vai noliegt šo? Bet domāju, ka arī par paradumiem jums puiši ir iespējams pieņemt, gan uz jūsu telefonu un jūsu pārlūkprogrammām. Daudzi no mums, mani iekļauts, ir iespējams diezgan noslieci tiem days-- tevi redzēt pop-up, tikai Enter, OK, apstiprināt, Atļaut. Un arvien vairāk, jūs varat ievietot sevi risks šiem iemesliem. Tātad faktiski, tur bija šī brīnišķīgā bug dažus gadus ago-- vai trūkums feature-- ka iTunes bija pirms dažiem gadiem, saskaņā ar kuru, ja jums bija mobilais tālrunis, un tas bija iPhone, un jūs kreisajā jūsu mājās un tāpēc devās visā pasaulē vai apkārtnē, visu šo laiku, tālrunis tika piesakoties kur jūs esat, izmantojot GPS. Un tas ir patiesībā atklāj, un cilvēki veida sagaida šo tagad. Tālrunis zina, kur jūs esat. Bet problēma bija tā, ka, kad bija dublēšanu tālrunim iTunes-- tas bija pirms dienās iCloud, kas ir labāk vai worse-- dati tiek glabāti iTunes, pilnīgi nešifrētā. Tātad, ja jums ir ģimene vai roommates vai ļaunprātīgu kaimiņš, kurš ir ziņkārīgs par burtiski katru GPS koordinēt esat kādreiz bijis, viņš vai viņa varētu vienkārši sēsties pie iTunes, palaist daži programmatūra, kas ir brīvi pieejami, un ražot kartes patika to. Faktiski, tas ir tas, ko es ražots no mana telefona. Es plugged to. Un izskatās, ka, pamatojoties uz ziliem punktiem tur, tas ir, ja lielākā daļa GPS koordinātas bija pieteicies iTunes, ka es bija tur Ziemeļaustrumos. Bet es acīmredzot apceļoja mazliet, pat Masačūsetsā. Tā ka ir Boston Harbor tur labajā pusē. Tas ir sava veida Cambridge un Bostona, kur tas ir tumšākais. Un reizēm, es varētu palaist errands lielāku ģeogrāfiju. Bet iTunes, gadiem, bija, cik labi Es varētu pateikt, visu šo datu par mani. Jūs varētu pateikt, ka, šajā gadā, es biju patiešām ceļo daudz starp Boston un New York, iet uz priekšu un atpakaļ un uz priekšu un atpakaļ. Un tiešām, tas ir mani Amtrak, muguras un atpakaļ, uz priekšu un atpakaļ, pavisam nedaudz. Visi, kas tika pieteicies un glabāti šifrētā manā datorā ikvienam, kas varētu būt piekļūt manu datoru. Tas bija satraucoša. Es nezināju, kāpēc es biju Pennsylvania vai kāpēc mans telefons bija Pennsylvania, acīmredzot diezgan blīvi. Un tad, visbeidzot, es paskatījos manu Gcal, un, ak, es apmeklēja CMU, Carnegie Mellon, tajā laikā. Un phew, ka šāda veida paskaidroja, ka fiksēšanas. Un tad, ja jūs zoom out tālāk, jūs varat sk es apmeklēju Sanfrancisko vienu vai vairākas reizes, tad, un man pat bija nolaišanās par to, ko Es domāju, ka ir Vegas, tur lejā. Lai visi this-- tikai nolaišanās lidostā. Mērķauditorija: [smiekli] Tātad tas ir tikai teikt, ka šie problēmas, godīgi, ir visuresošs. Un tas tikai jūtas arvien vairāk patīk tur vairāk un vairāk tas tiek izpausta, kas, iespējams, ir laba lieta. Es daresay, pasaule nav pasliktinās pie rakstīšanas programmatūru. Mēs kļūst labāk, cerams, pēc noticing cik slikti noteiktu programmatūru ir tas, ka mēs izmantojam. Un par laimi, daži uzņēmumi ir sākuši saukt pie atbildības par to. Bet ko veidu aizsargspējas var jums ir prātā? Tātad papildus paroles vadītājiem, tāpat kā 1Password un LastPass un citi, turklāt tikai mainot savas paroles un nāk klajā ar izlases ones izmantojot programmatūru, piemēram, ka jūs varat arī izmēģināt kā vislabāk iespējams šifrēt visas trafika vismaz sašaurināt zonu draudu. Tā, piemēram, kā Harvard filiālēm, jūs visi varat doties uz vpn.harvard.edu un piesakieties ar savu Hārvarda ID un PIN kodu. Un tas izveidos droša saikne starp jums un Hārvarda. Tagad, ka nav vienmēr var aizsargāt jūs pret jebkādiem draudiem, kas ir starp Hārvardas un Facebook vai Hārvarda un Gmail. Bet, ja jūs sēžat lidostā, vai jūs esat sēž Starbucks, vai jūs esat sēžot pie drauga vietā, un jums nav īsti uzticēties viņiem vai viņu konfigurācija viņu mājas maršrutētāju, vismaz jūs varat izveidot drošu savienojumu uz struktūrvienību, piemēram, šajā vietā, kas ir iespējams, mazliet labāk nodrošinātas kā kaut ko līdzīgu Starbucks vai tamlīdzīgi. Un ko tas dara, ir tā nosaka, atkal, šifrēšana starp jums un parametru. Pat mīļotājs ir lietas, piemēram, tas. Tāpēc daži no jums, iespējams, jau iepazinušies ar Tor, kas ir šāda veida anonimizēšanu tīkls, kurā daudz cilvēku, ja viņi palaist šo programmatūru, maršruts Vēlāk viņu internets satiksmes ar otru. Tātad visīsākais punkts ir vairs nav starp A un B Bet tas varētu būt visā novietot tā, ka jūs esat būtībā aptverot savas dziesmas un atstājot mazāk ierakstu par to, kur jūsu HTTP satiksme nāca no, jo tas notiek cauri visai ķekars citu cilvēku klēpjdatoriem un galddatoriem, lai labāk vai sliktāk. Bet pat tas nav pareizs lieta. Daži no jums varētu atgādināt pērn bumba skandāla, kas saucās. Un tas bija izsekot galu galā lietotājs, kurš ir izmantojis šo tīklu šeit. Un nozvejas tur, kā es atceros, ir, ja tur nav, ka daudzi citi cilvēki izmantojot programmatūru, piemēram, tas, vai Izmantojot šo portu un protokolu, tas nav tik grūti, lai tīklam pat izdomāt, kas ar zināmu iespējamību, bija faktiski padarot anonīmas viņa vai viņas satiksme. Un es nezinu, vai tie bija faktiskie attiecīgie dati. Bet, protams, saprotu, ka neviens no tie ir pareizs risinājums, kā labi. Un šodien mērķis šeit ir vismazāk saņemtu jums domāt par šīm lietām un nāk klajā ar paņēmienus aizstāvot sevi pret viņiem. Visus jautājumus par visiem draudiem ka Jūs gaida, kas tur, un šeit? Yeah? Mērķauditorija: Cik droša do mēs sagaidām vidējo [? mājas lapā ir,?] tāpat vidējais CS50 projekts? DAVID J. Malan: Vidējā CS50 projekts? Tā vienmēr ir pierādījusi katru gadu, kas daži CS50 galīgie projekti nav īpaši droša. Parasti, tas ir sava kaimiņiem vai hallmate ka skaitļi šo out nosūtot pieprasījumu savam projektam. Īsumā answer-- cik mājas lapas ir droši? Es esmu picking šodien anomālijas. Tāpat kā tas bija tikai nejaušības ka es sapratu, ka šajā mājas lapā Esmu bijis pasūtīšanas tiem atklāti garšīgi pasākumi from-- un es neesmu pārliecināts, ka es ņemšu pārtraukt izmantot viņu mājas lapā; Es varētu vienkārši mainīt manu parole vairāk regularly-- tas nav skaidrs, cik neaizsargāti visi šie various-- tas ir šokolādes pārklājumu faktiski. Īsā atbilde, es nevaru atbildēt, ka efektīvi, izņemot to pateikt nebija tik grūti mani atrast kādu no šiem piemēriem vienkārši labad diskusiju lekciju. Un tikai saglabāt acu par Google News un citi resursi dos visu vairāk šīs lietas veidu uz gaismu. Labi, pieņemsim noslēgt ar šo prequel ka CS50 komanda ir gatava jums gaidot CS50 Hackathon. Un jūsu izeja brīdis, augļi tiks piegādāts. [VIDEO PLAYBACK] [MUSIC Fergie, Q TIP UN GOONROCK, " LITTLE PARTY nav nogalinājis neviens (ALL WE GOT) "] - [KRĀKŠANA] [END VIDEO PLAYBACK] DAVID J. Malan: Tas ir tas CS50. Mēs redzēsim tevi trešdien. [MUSIC - Skrillex, "IMMA" TRY IT OUT "]