DAVID J. Malan: Dan huwa CS50, u dan huwa l-bidu tal-ġimgħa 10. Inti tista 'tfakkar li konna murija fuq l-iskrin printer 3D, li huwa dan il-mezz li jieħu irkiekel tal-plastik u mbagħad extrudes dan billi ssaħħnu up u tidwib hekk li nistgħu mbagħad jiffurmaw armata Chang ta ' iljunfanti, per eżempju. 

Allura fil Leverett House, għalkemm, reċentement, I kien chat ma 'wieħed mill tiegħek klassi u ħabib ta 'l Chang jismu Michelle, li fil-fatt internati fil din il-kumpanija l-oħra din is-sena passat li għandha teknika differenti għall-fatt ħolqien oġġetti tridimensjonali, bħal dan iljunfant ftit żgħira hawn. B'mod partikolari, il-mod kif dan xogħlijiet hija li huwa eżempju ta 'xi ħaġa imsejħa stereolithography, fejn hemm dan baċin ta 'raża jew likwidu, u mbagħad laser strajkijiet li likwidu, u gradwalment, l-apparat liftijiet u liftijiet u liftijiet l-ħaġa li int istampar, bħal iljunfant, bħal dik likwidu jitlef solidu. U r-riżultat, fil-fatt, hija xi ħaġa li l- ħafna aktar b'saħħtu minn uħud mill il-plastik jingħataw b'xejn xi wħud minnkom setgħu kellhom. 

U dak Chang ġentilment għamlet għalina hawn kien għamilt żmien jiskadu jużaw ritratti matul il-kors ta 'siegħa jew aktar, probabbilment, li tipproduċi dan Guy hawn. Would xi ħadd li qatt toħroġ qabel simili li jaqgħu hit Bidu fuq dan il-video? Let me go ma ', kif madwar hemmhekk. Come fuq up. Kull dritt. U inti? LUKE: Luqa Jisimni [inaudible]. DAVID J. Malan: Hi, Luqa. Nizza li jissodisfaw inti. 

LUKE: Nizza biex jissodisfaw inti. UDJENZA: HES għaddej għal UC. 

DAVID J. Malan: Naf, aħna qed jippruvaw li ma jippromwovu. Kull dritt, hekk Luqa, kollha għandek tagħmel hawn fil CS50 huwa laqat il-bar-ispazju biex tipprintja din iljunfant. [Daqq ta 'video] - [Whirring MAGNA] - [Crash] - [BOOM] - [Crash] [END daqq ta 'video] DAVID J. Malan: Allura dan huwa eżattament dak li huwa simili għall 3D istampar. U hawn huwa iljunfant tiegħek. Grazzi għall-volontarjat. Kull dritt. Għalhekk għal darb'oħra, kull l-ispeċifikazzjoni għall- il-proġett finali, dan hardware li l- disponibbli għall inti guys hija, għal xi raġuni, proġett tiegħek għandha xi intersezzjoni ta 'software u hardware, jirrealizzaw li dawn issa huma riżorsi. 

I riedu jieħdu mument wieħed tmissx fuq artikolu Crimson li ħareġ aħħar lejl tard, li kien li jħabbar li dan sħabi hawn, David Johnson, li kien l-anzjan preceptor għall Ec 10 għal żmien pjuttost twil, qed tħalli Harvard fl- aħħar tas-sena akkademika. U I biss riedu tieħu mument, onestament, nirringrazzja David quddiem ta 'CS50. Hu kien kunsillier ta ' xorta lilna matul is-snin. 

U inħoss bħal aħna, CS50, ikollhom pjuttost kibru ma Ec 10 fil hawn, peress li huma dritt qabel magħna. U hu u t-tim kollu fil Ec 10 għandha Kien wonderfully gracious, franchement, kif aħna lug fil kollha ta 'tagħmir tagħna kull ġimgħa, u s-snin ilu, sakemm ħafna ta 'avukat kif konna kurjużi dwar kif joperaw Ec 10. Allura grazzi tagħna u ammirazzjoni lil David Johnson. 

[Applause] 

Issa, unrelatedly, hekk l-aħħar huwa tabilħaqq qrib. Aħna qegħdin hawn fil-ġimgħa 10. U aħna biss ikollhom biss ftit ġimgħat formali hawn fil-klassi xellug, segwiti minn koppja ta 'avvenimenti. Allura biex jagħtuk sens ta 'x'hemm fuq l-orizzont, aħna qegħdin hawn illum. 

Dan l-Erbgħa, recall, aħna ser ikollhom lecture mistieden minn xejn għajr Stess Steve Ballmer Microsoft. Jekk inti ħadthom għadhom ma ġewx marret biex cs50.harvard.edu/register, tagħmel hekk, peress li l-ispazju se tkun limitata. U dawn se jiġi verifikat IDs fil-bieb dan kuljum. Jekk inti ma kinux hawn aħħar ġimgħa, ħsibt I d tease inti ma ħarsa differenti fil Steve u l-eċitament li jistenna us nhar l-Erbgħa. 

[Daqq ta 'video] 

-Passion. 

-We're Se tkun iebsa hardcore--. 

-Innovator. 

-Bill Qal, inti ma ġġibu. Aħna qed tmur biex tpoġġi kompjuter fuq kull skrivanija u f'kull dar, li sar il-motto għall-kumpanija. Jiena naħlef, Bill ivvintat dan li bil-lejl biex verament tagħti me xi wħud mill-viżjoni ta ' għaliex I għandha tgħid iva. Stajt qatt ma ħares lura, verament, wara dik. 

-Frisk minn kulleġġ, huwa ssieħbu istartjar f'diffikultà u għenha jikbru f'waħda mill-Amerika ta negozji aktar suċċess qatt. Il-ħajja ta 'u n-negozju lezzjonijiet meħuda matul it-triq let lura lilu tiegħu passjoni tfulija u l-imħabba. U dawk l-esperjenzi ħejjew lilu għall-isfida li jmiss tiegħu fil-ħajja. 

-Nothing Gets fil boom way-- tagħna! Żomm hardcore ġejjin! Mur jaqtgħu! 

-Dan Huwa Steve Ballmer, "Fil Kliem tiegħi stess." [END daqq ta 'video] DAVID J. Malan: --this Erbgħa sal-CS50. Ras għal darb'oħra biex dan il-URL hawn. Fir x'iktar huwa fuq l-orizzont, ġimgħa d-dieħla, l-ebda taħdita nhar it-Tnejn. Imma se nkunu wara dak billi kwizz wieħed nhar l-Erbgħa. Go to homepage CS50 għall dettalji fuq in-nies, postijiet, u l-ħinijiet għall kollha tal-proctoring varji loġistika u simili, kif ukoll dwar ir-reviżjoni sessjonijiet li huma li jmiss. U mbagħad, fl-aħħarnett, nhar it-Tnejn, il-jum qabel il-ġimgħa ta 'waqfa Thanksgiving, tirrealizza dan se jkun lecture finali tagħna. Aħna se jservu kejk u kbir jittrattaw ta 'eċċitament, nittamaw. 

Issa, koppja ta 'aġġornamenti oħra. Wieħed iżomm f'moħħu li l-istatus rapport, li huwa verament ftit intenzjonat li jkun interazzjoni każwali bil TF tiegħek biex kburi jiddikjara biss kemm tul mal tiegħek proġett finali int, jew għall-inqas bħala sanità iċċekkja li inti għandek jkun viċin ta 'dik punt ftit wara. L-Hackathon mbagħad isegwi li. Tirrealizza l-Hackathon mhix opportunità biex tibda proġett finali tiegħek, iżda huwa maħsub li jkun l-opportunità li jiġu fin-nofs ta 'fuq jew lejn it-tmiem tal-proġett finali tiegħek, bl-implimentazzjoni dovuta ftit jiem wara, segwita mill-CS50 ġust. 

Issa, il-produzzjoni CS50 ta tim, ftit snin ilu, jitqiegħdu flimkien teaser għall-CS50 ġust li aħna ħsibt aħna'd nuruk illum, minħabba li ħadthom kien iebes fuq ix-xogħol fuq prequel għal dan, video ġdida li aħna ser jikkonkludi llum ma. Imma hawn hu dak jistenna inti għal CS50 ġust din is-sena. [Daqq ta 'video] - [CELL PHONE tisfir] [MUSIC "TEMA MINN MISSJONI: IMPOSSIBBLI"] [END daqq ta 'video] DAVID J. Malan: Allura dan huwa eżattament kif aħna qrib sottomissjonijiet finali tal-proġett. Koppja ta 'issa teasers-- jekk inti tixtieq li jissieħbu Nick hawn għall-ikel, bħas-soltu, dan Ġimgħa, ras għal dan il-URL hawn. Barra minn hekk, jekk inti tixtieq biex jissieħbu Nick jew dan Nick jew dan Allison jew kwalunkwe membri tat-tim CS50, l do jirrealizzaw li, ftit wara t-tmiem tul ta ', CS50 se jkun diġà reklutaġġ għat-tim sena d-dieħla, għall CAs, TFS, disinjaturi, il-produtturi, riċerkaturi, u pożizzjonijiet oħra li hawn joperaw CS50 kemm fil quddiem u wara l-kwinti. Hekk jekk dan jista 'jkun ta' interess lilek, ras għal dan il-URL hawn. U l-istudenti aktar komda, inqas komdi, u x'imkien bejn simili huma kollha milqugħa u mħeġġa biex japplikaw. 

Allura kien timing perfett li, mhux Joke, dalgħodu, meta I woke up, I kellha din hawn spam fl-inbox tiegħi. Hija fil-fatt żelqet permezz spam filter Gmail tal b'xi u spiċċa fl-inbox tiegħi attwali. U jgħid, "Għażiż mailbox utent, int bħalissa imtejba għall 4 gigabytes ta 'spazju. Jekk jogħġbok log fil-kont tiegħek sabiex jivvalidaw E-ispazju. " 

U allura hemm dan blu sabiħ link enticing hemm biex ikklikkja fuq għall fakultà u l-istaff, li mbagħad wasslitni għal paġna wonderfully leġittimu, li talabni biex jagħtuhom l-isem tiegħi u l-indirizz email u, naturalment, password biex jivvalidaw li jiena u ibqa 'sejjer hekk. Iżda naturalment, kif huwa dejjem il-każ, inti jaslu din il-paġna inżul, u naturalment, hemm typo inqas wieħed, li jidher li jkun l-dwiefer fl l-tebut ta 'kwalunkwe minn dawn scams. U aħna ser post, forsi, xi oħrajn links għal dawn it-tipi ta 'screen shots fil-futur. Iżda wieħed jittama, ħafna nies fil- din il-kamra ma clicked-- jew anke jekk inti stajt għafast dawn ir-rabtiet bħal dan, int ma marret safejn biex jimlew dawk il-forom u ibqa 'sejjer hekk. Fil-fatt, huwa OK jekk għandek. Aħna ser tipprova li jiffissaw li llum, għaliex, tabilħaqq, konverżazzjoni lum hija dwar is-sigurtà. 

U fil-fatt, wieħed mill- għanijiet ta 'CS50 mhuwiex tant li jgħallmu CE jew PHP jew JavaScript jew SQL jew xi wieħed minn dawn sottostanti dettalji tal-implimentazzjoni. Iżda huwa li inti s-setgħa bħala bnedmin biex biss tagħmel deċiżjonijiet aktar intelliġenti kif dan tirrigwarda teknoloġija l- fit-toroq sabiex, jekk int inġinier jew umanista jew xjentist jew ebda rwol ieħor, inti qed jagħmlu deċiżjonijiet infurmati dwar l-użu tiegħek computing stess, jew jekk int fil- pożizzjoni tat-teħid tad-deċiżjonijiet, fil-politika, b'mod partikolari, int tagħmel ħafna, deċiżjonijiet ferm aħjar minn lott ta 'bnedmin illum kienu. U aħna ser tagħmel dan billi mod ta 'ftit eżempji. 

L-ewwel, I kien pjuttost sorpriż riċentement biex jiskopru dan li ġej. Allura passwords, naturalment, huma dak li ħafna minna tuża biex jipproteġu email data-- tagħna, chat, u kull tip ta 'riżorsi bħal dik. U biss minn awkward-- ma juru ta ' idejn, iżda jistenna embarrassed ta mistħija, Kemm inti tuża l-password istess fil-lott ta 'websajts differenti? 

Oh, OK, hekk aħna ser nagħmlu l-idejn. OK, hekk ħafna minnkom do. Xi ħadd li ma dan, biss għaliex? U dak? Yeah? UDJENZA: Huwa faċli biex tiftakar, għaliex inti ma għandekx tiftakar [inaudible]. DAVID J. Malan: Yeah, huwa faċli biex tiftakar. Huwa perfettament raġonevoli, imġieba razzjonali, anki jekk ir-riskju int tqegħid lilek innifsek fil f'dawn il-każijiet huwa biss wieħed jew aktar minn dawn il-websajts hija vulnerabbli għall hacking jew prekarju jew il-password tiegħek biss hekk darn guessable, kulħadd jista figura hija out. Mhux biss huwa kont wieħed kompromessa, iżda fit-teorija, kull kontijiet għandek fuq l-internet. So I know I jista 'jgħid illum, ma jużaw l-istess password kullimkien, iżda li ħafna aktar faċli minn qal jsir. Iżda hemm tekniki għall mitigazzjoni li tħassib partikolari. 

Issa, I jiġri, per eżempju, biex tuża programm imsejjaħ 1Password. Ieħor wieħed popolari huwa msejjaħ LastPass. U mazz ta 'użu staff CS50 wieħed jew aktar ta 'dawn it-tipi ta' għodod. U l-istorja twila fil-qosor, takeaway wieħed għal-lum għandu jkun, iva, inti jista 'jkollok l-istess password kullimkien, imma hija faċli ħafna biex m'għadhomx tagħmel dan. Per eżempju, dawn il-ġranet, I know forsi wieħed ta 'għexieren jew mijiet tiegħi ta 'passwords. Kollha ta 'passwords oħra tiegħi huma psewdo-każwali iġġenerat minn wieħed minn dawn il-programmi hawn. U fil-qosor, u anki għalkemm aktar ta 'dawn il-programmi għandhom tendenza li jiġu mal daqsxejn ta 'spiża, inti jinstallaw programm bħal dan, inti mbagħad taħżen kollha ta ' usernames u passwords tiegħek ġewwa ta 'dan il-programm fuq tiegħek Mac jew PC jew whatnot, u allura jkun encrypted fuq il-kompjuter tiegħek bil x'hemm nittamaw password partikolarment twal. So I jkollhom mazz sħiħ ta ' passwords għall-websajts individwali, u mbagħad I jkollhom verament password twil li I użu li nisfruttaw kollha ta ' dawk passwords oħra. U x'hemm sbieħ dwar softwer bħal dan huwa li, meta inti żżur il-website li l- titlob għall username u password, dawn il-ġranet, I ma tip fl username tiegħi u password, għaliex, għal darb'oħra, I do not know anki dak li ħafna ta 'passwords tiegħi huma. I minflok hit tastiera shortcut, ir-riżultat ta 'liema huwa biex jiġu xprunati dan is-software biex pront me għal password kaptan tiegħi. I imbagħad tip li wieħed kbir password, u allura l-browser awtomatikament timla dak password tiegħi huwa. Allura verament, jekk inti tieħu xejn bogħod mil-lum f'termini ta 'passwords, dawn huma softwer li jiswew tniżżil jew jinvestu sa li inti tista 'mill-inqas break li vizzju partikolari. U jekk int it-tip li l- jużaw Post-Tinnota jew l like-- u odds huma mill-inqas wieħed minnkom is-- li vizzju, wisq, huwa biżżejjed li jingħad, għandu jkun imkisser. 

Issa, I ġara biex jiskopru, bħala riżultat tal tuża s-software, li ġej. I kien li tordna Arranġament li jittiekel, dan il-basket ta 'frott, reċentement. U I hit keyboard speċjali tiegħi shortcut log fil-websajt. U s-software wassal għal pop-up li qal, inti żgur inti trid lili biex awtomatikament tissottometti dan username u password? Minħabba li l-konnessjoni hija prekarju. 

Il-konnessjoni mhux użu HTTPS, għal sigura, jużaw dan il-protokoll magħrufa bħala SSL, Sokits Sikura Layer. U fil-fatt, jekk inti tħares lejn il-quċċata xellug ta 'din il-websajt, huwa biss www.ediblearrangements.com, ebda HTTPS, li ma jkunx hekk tajjeb. 

Issa, I kien curious-- forsi dan huwa biss bug fis-software. Żgur, xi websajt bħal dan li ħafna minna jafu huwa inqas tuża encryption jew HTTPS URLs log int fl. So I ltqajna ftit kurjuż dalgħodu. U sibt il-ħiliet CS50 tiegħi, I fetaħ Chrome Ispettur. Mhuwiex anki ħafna ta 'ħiliet. Huwa biss laqat il-keyboard dritt shortcut biex tiftaħ dan up. U hawnhekk tieqa big ta 'Spettur Chrome. 

Imma dak kien effettivament ftit traġiku u redikoli kienu dawn iż-żewġ linji hawn. Up fil-quċċata, avviż-URL li li username tiegħi u password kienu sottomessi. Let me zoom. Kien dan hawn. U kollha ta 'dan huwa tip ta 'uninteresting, ħlief għall-ħaġa-triq kollha lejn ix-xellug, li jibda bil http: //. U hekk allura, OK, forsi dawn qed biss jibgħat username tiegħi, li hija mhux tali big deal. Forsi password tiegħi gets mibgħuta iktar tard. Dan ikun it-tip ta ' deċiżjoni tad-disinn interessanti. 

Iżda Nope. Jekk inti mbagħad tħares lejn it-talba payload, il-username u password I sent-- u I mocked dawn il-up għall-slide-- kienu attwalment mibgħuta fil-ċar. Allura inti tmur din il-websajt partikolari u tordna Arranġament jittiekel bħal dan, u tabilħaqq, apparentement, għal dan kollu darba stajt ġiet tordna minnhom, username u password qed jiġri madwar fil-ċar. Allura onestament, dan huwa kompletament inaċċettabbli. U huwa hekk trivjali biex jevitaw affarijiet bħal dan bħala l-disinjatur ta 'websajt u bħala l-programmer ta 'websajt. 

Iżda l-takeaway hawn għal lilna bħala utenti ta 'websajts huwa biss japprezzaw li kollha li jieħu huwa għal disinn stupid wieħed deċiżjoni, id-deċiżjoni tad-disinn inġustifikabbli, b'tali mod li issa, jekk inti taf password tiegħi huwa "Krimżi" fuq din website, inti probabilment ħadthom biss ltqajna fis mazz sħiħ ta ' websites oħra li I issa għandhom. U hemm Ma tantx ta difiża kontra dan minbarra dak Chang għamlet dalgħodu. Huwa mar Arranġamenti li jittieklu, li tinsab fl-triq fil-Cambridge, u fiżikament mixtrija dan għalina. Li kien ferm aktar sikuri minn jużaw il-websajt f'dan il-każ. 

Iżda l-dettall li żżomm għajnejk out għal huwa attwalment x'hemm fil-browser top up hemmhekk. Iżda anke li tista 'tkun ftit qarrieqa. Allura ieħor interessanti eżempju u mod ta 'difiża kontra this-- u fil-fatt, ejja do li first---mod ta 'difiża kontra dan hija teknika li n-nies tas-sigurtà kieku sejħa awtentikazzjoni b'żewġ fatturi. 

Ħadd ma jaf x'inhi l-soluzzjoni għal problemi bħal dan ifisser? X'inhu awtentikazzjoni b'żewġ fatturi? Jew imqiegħda mod ieħor, kif ħafna minnkom qed tuża dan? OK, hekk koppja ta 'nies jitmeżmżu. Iżda yeah. Rajt naħa tiegħek jitla '. X'inhu awtentikazzjoni b'żewġ fatturi? 

UDJENZA: Bażikament, minbarra biex tittajpja password tiegħek, inti ukoll għandek [inaudible] sekondarja mibgħuta permezz messaġġ test għall-telefon tiegħek fil-[inaudible]. DAVID J. Malan: Eżattament. Minbarra għal xi forma primarja ta 'awtentikazzjoni, bħal password, int mitlub għal sekondarja fattur, li huwa tipikament xi ħaġa li għandek fiżikament fuqek, għalkemm dan jista 'jkun xi ħaġa oħra għal kollox. U li ħaġa huwa tipikament cellphone dawn il-jiem li inti tikseb bagħat messaġġ test temporanju li tgħid "Kodiċi tiegħek pass temporanju huwa 12345." 

Allura minbarra tiegħi password "krimżi," I wkoll għandek tip fi kwalunkwe il-websajt texted lili. Jew jekk għandek dan ma ' bank jew kont ta 'investiment, jekk xi kultant ikollok dawn dongles ftit li fil-fatt ikollhom psewdo każwali ġeneratur numru mibnija ġo fihom, iżda t-tnejn l-apparat u l-bank taf liema żerriegħa inizjali tiegħek huwa sabiex dawn ikunu jafu, anke bħala l- ftit kodiċi fuq fob ewlenin tiegħek ftit marċi quddiem kull minuta jew tnejn, bdil ta 'valuri, Allura dan it-tibdil valur fuq is-server tal-bank sabiex ikunu jistgħu bl-istess mod jawtentikaw inti, mhux biss ma 'password tiegħek, iżda ma 'dan il-kodiċi temporanju. Issa, inti tista 'attwalment jagħmlu dan fil-Google. U franchement, dan huwa drawwa tajba li jsibu rwieħhom, speċjalment jekk inti qed tuża Gmail il-ħin kollu fuq il-browser. Jekk inti tmur biex dan il-URL hawnhekk, li hija fil- l-pjastri online għal-lum, u mbagħad ikklikkja fuq Verifika 2-Pass, istess ħaġa attwali hemmhekk. Int ser tkun imħeġġa li jagħtu minnhom numru tiegħek cell phone. U mbagħad, kwalunkwe ħin li inti log fis Gmail, inti ser tkun mhux biss mistoqsi għall-password tiegħek, iżda wkoll għal ftit kodiċi li gets mibgħuta lill-telefon tiegħek temporanjament. U sakemm ikollok cookies ppermettiet, u sakemm inti ma espliċitament log out, inti ser ikollok biss biex tagħmel dan darba awhile, bħal meta inti tiltaqa fuq kompjuter ġdid. 

U l-rasu hawnhekk, wisq, huwa, jekk inti joqogħdu bilqegħda fuq xi stil kafetterija internet kompjuter jew biss kompjuter ħabib, anke jekk dik ħabib malizzjuż jew unknowingly għandha xi logger keyboard installat fil-kompjuter tiegħu jew tagħha, tali li kollox inti tip qed illoggjat, inqas li t-tieni fattur, li kodiċi temporanju, hija effimeru. Hekk hu jew hi jew kull min huwa kompromessa l-kompjuter ma tista 'log fis inti sussegwentement, anki jekk kollox kienet vulnerabbli jew saħansitra unencrypted għal kollox. Facebook għandha dan, wisq, ma 'dak URL hawn, fejn inti tista 'tikklikkja fuq Approvazzjonijiet Login. Allura hawnhekk, wisq, jekk inti ma tixtieq ħbieb poke nies, inti ma tridx tkun poking fuq Facebook jew kollokament aġġornamenti istatus għalik, awtentikazzjoni b'żewġ fatturi hawnhekk hija probabbilment ħaġa tajba. U allura hemm dan teknika oħra għal kollox, biss verifika, li huwa anke ħaġa tajba għalina bnedmin, jekk żewġ fattur juri annoying, li, Ċertament, tista ', jew huwa biss mhux disponibbli fuq xi websajt, minimament li żżomm għajnejk fuq jekk u meta int jillogja siti, jekk jippermettu li inti, hija teknika tajba, wisq. Allura Facebook wkoll jagħtik dan notifiki login karatteristika, fejn ghaċ Facebook jirrealizza, hm, David għandha illoggjat minn xi kompjuter jew telefon li aħna stajt qatt qabel minn indirizz IP li jistenna familjari, dawn ser inqas inti tibgħat email għal dak kollu indirizz email għandek fuq il-fajl, qal, ma dan ħarsa suspettużi? Jekk iva, bidla password tiegħek immedjatament. U hekk hemm, wisq, imġieba verifika biss anki wara li tkun ħadthom ġiet kompromessa, jista 'mill-inqas dejqa-tieqa matul li inti huma vulnerabbli. 

Kull dritt, xi mistoqsijiet fuq li Jittieħed s'issa? Illum huwa l-jum li tikseb kollha ta ' paranojja tiegħek ikkonfermata jew miċħuda. Li l-aktar ikkonfermat, sfortunatament. Yeah? 

UDJENZA: [inaudible] telefon, X'jiġri jekk pawżi tiegħek phone, u allura huwa dejjem diffiċli biex verify-- 

DAVID J. Malan: Veru. 

UDJENZA: Jew jekk int fil differenti pajjiż, u dawn ma tavżak log fil minħabba [inaudible]. DAVID J. Malan: Assolutament. U għalhekk dawn huma l-addizzjonali spejjeż li inti tagħmel. Hemm dejjem din it-tema ta 'kompromess, wara kollox. U mbagħad, jekk inti titlef telefon tiegħek, jekk pawżi, jekk int barra, jew inti biss ma jkollhomx sinjal, bħal 3G jew sinjal LTE, Inti tista 'ma attwalment ikunu kapaċi li jawtentikaw. 

Għalhekk għal darb'oħra, dawn iż-żewġ huma kompromessi. U xi kultant, ikun jista 'joħloq ħafna xogħol għalik bħala riżultat. Imma huwa verament jiddependi, imbagħad, fuq dak il-prezz mistenni lilek huwa ta 'xi ħaġa benessri kompromessa għal kollox. 

Allura SSL, allura, huwa din it-teknika li aħna kollha ġeneralment jieħdu għal mogħtija jew jassumi hemm, anke jekk thats manifestament il-każ. U inti xorta tista 'tqarraq nies, għalkemm, anke ma 'dan. Allura hawnhekk eżempju ta 'bank. 

Dan huwa Bank of America. Hemm mazz sħiħ ta 'dawn fl Harvard Square u lil hinn. U tinnota li, fil-quċċata ħafna ta ' l-iskrin, hemm xi, tabilħaqq, HTTPS. U huwa saħansitra aħdar u enfasizza għalina li jindikaw li dan huwa tabilħaqq websajt leġittimament sigura, jew hekk konna ġew imħarrġa biex jemmnu. 

Issa, minbarra dan, għalkemm, avviż li, jekk aħna zoom fi, hemm dan ħaġa hawn, fejn int imħeġġa biex log fil. Xi jfisser dan katnazz jfissirx dritt hemm, li jmiss għall username tiegħi fil-pront? Dan huwa pjuttost komuni fuq il-websajts, wisq. Xi jfisser dan katnazz jfisser? Inti jidhru simili inti taf. 

UDJENZA: Dan ma jfissirx xejn. 

DAVID J. Malan: Hija ma jfisser xejn. Dan ifisser li l-Bank of America jaf kif li tikteb HTML ma 'tags immaġni, id-dritt? Huwa tassew ifisser xejn, minħabba li, anki aħna, bl-użu l-ewwel jum ta 'ħarsa tagħna fil HTML, tista kodiċi up paġna ma sfond aħmar u immaġni, bħal GIF jew whatnot, li jiġri lill-dehra katnazz. And yet, dan huwa super komuni fil-websajts, għaliex aħna ve ġew imħarrġa biex tassumi li, oh, katnazz mezzi siguri, meta verament ifisser biss inti taf HTML. 

Per eżempju, lura fil-ġurnata, I jistgħu jkunu biss jitqiegħed dan fuq il-websajt tiegħi, fejn sostniet huwa sigur, u tistaqsi, b'mod effettiv, għall usernames u passwords tan-nies. Allura tfittex fil-URL huwa inqas clue aħjar, għaliex thats mibnija fis Chrome jew kwalunkwe browser inti qed tuża. Iżda anke dakinhar, xi kultant affarijiet jistgħu imorru ħażin. U fil-fatt, inti tista 'ma dejjem tara HTTPS, aħseb u ara fl-aħdar. 

Have kwalunkwe inti qatt raw skrin bħal din? Inti jista 'jkollhom, fil-fatt, aktar kmieni f'Ottubru, meta I nesa li tħallas għall tagħna Ċertifikat SSL, kif huwa msejjaħ, u konna tfittex bħal dan għal siegħa jew tnejn. Allura inti ħadthom probabbilment jidhru l-affarijiet bħal dan, bil-through strajk, bħal linja ħamra, permezz il-protokoll fil-URL jew xi tip ta 'screen li l- inqas twiddeb inti għall jippruvaw biex jipproċedu aktar. U Google hawn qed tistieden inti tmur lura għas-sigurtà. 

Issa, f'dan il-każ, dan biss kien ifisser li iċ-ċertifikat SSL li aħna kienu jużaw, l-kbar, numri matematikament utli li huma assoċjati ma 'server CS50, l ma kienx aktar validu. U fil-fatt, nistgħu jissimulaw dan, kif inti tista 'fuq laptop tiegħek. Jekk immur fis Chrome hawn, u ejja mur facebook.com, u jidher qisu dan huwa sigur. Iżda let me imorru quddiem issa u ikklikkja fuq il-katnazz hawn. 

U let me mur Konnessjoni, Informazzjoni ċertifikat. U fil-fatt, dak li inti ser tara hawnhekk huwa mazz ta dettalji ta 'livell aktar baxx dwar li facebook.com verament huwa. Jidher li jkunu ħallsu l-flus biex kumpanija msejħa forsi DigiCert High Assigurazzjoni li wiegħed li tgħid il-bqija tad-dinja li, jekk browser qatt jara a certificate-- inti tista 'taħseb ta 'dan litteralment bħala ċertifikat li qisu li ħaġa Logged fil-quċċata left-- allura facebook.com huwa min huma jgħidu dawn huma, minħabba dan il-ħin, meta inti żżur il-website, bħal cs50.harvard.edu jew facebook.com jew gmail.com li jużaw HTTPS URLs, wara l-kwinti, hemm dan it-tip ta 'transazzjoni jiġri awtomatikament għalik, li biha facebook.com, f'dan il-każ, hija li jibgħat lill-browser tiegħek tagħha hekk imsejħa ċertifikat SSL, jew minflok, ċavetta pubblika tagħha, u mbagħad browser tiegħek qed tuża dan ċavetta pubblika li sussegwentement tibgħat encrypted traffiku lejn u minnha. 

Iżda hemm din il-ġerarkija kollu fid-dinja tal-kumpaniji li inti tħallas flus min se imbagħad jixhdu, f'sens diġitali, li inti tabilħaqq facebook.com jew server tiegħek huwa tabilħaqq cs50.harvard.edu. U mibnija fil-browsers, bħal Chrome u IE u Firefox, hija lista ta 'dawk kollha hekk imsejħa awtoritajiet ċertifikat li huma awtorizzati mill- Microsoft u Google u Mozilla biex jikkonfermaw jew jiċħdu li facebook.com huwa li huwa jgħid li huwa. Iżda l-qabda hija li dawn l-affarijiet do jiskadu. Fil-fatt, Facebook qisu tiskadi f'Ottubru li ġej, fl-2015. 

Allura nistgħu ngħidu jissimulaw dan jekk I jmorru fl Mac tiegħi Sistema ta 'Preferenzi tiegħi, u mmur fis Data u Ħin, u I tmur fis Data u Ħin hawn, u I nisfruttaw dan here-- Thankfully, aħna ma żvelatx password dan time-- u issa I jinżlu għal uncheck dan. U ejja actually-- oops, li l- mhux interessanti kif isir dan. Aħna litteralment fil-futur issa, li jfisser dan huwa dak 2,020 huwa simili. Jekk I issa rikarigu-page-- ejja tagħmel dan fil Ingognito mode-- jekk I rikarigu-paġna, hemm immorru. 

Allura issa, il-kompjuter tiegħi jaħseb huwa 2020, iżda browser tiegħi jaf li dan iċ-ċertifikat mill- Facebook tiskadi, naturalment, fl-2015. Allura huwa għoti me dan il-messaġġ aħmar. Issa, Thankfully, browsers bħal Chrome jkunu attwalment għamilha pjuttost diffiċli li tipproċedi xorta. Huma tassew trid lili li jmorru lura għas-sigurtà. 

Jekk I ikklikkja hawn fuq Advance, huwa ser jgħidlek me xi aktar dettalji. U jekk I verament irridu li tipproċedi, dawn ser let me mur facebook.com, li hija, għal darb'oħra, mhux sikuri, f'liema punt I ser tara homepage Facebook, bħal dan. Imma l-affarijiet imbagħad oħra jidhru li huma breaking. X'hemm probabbilment tkissir f'dan il-punt? UDJENZA: JavaScript. DAVID J. Malan: Bħall- JavaScripts u / jew CSS fajls huma simili jiltaqgħu dan l-iżball. Allura din hija biss sitwazzjoni ħażina ġenerali. Imma l-punt hawnhekk huwa li mill-inqas Facebook tabilħaqq jkollhom SSL ppermettiet għal servers tagħhom, kif ħafna websajts, do, iżda mhux neċessarjament kollha. 

Imma dak li mhux waħdu l-takeaway hawn. Jirriżulta li anke SSL Intwera li jkun prekarji b'xi mod. Hekk jien tip ta 'ssemmi li SSL, tajba. Fittex għall URLs HTTPS, u l-ħajja hija tajba, minħabba kollha ta 'traffiku HTTP tiegħek u headers u kontenut huwa encrypted. 

Ebda wieħed jista jinterċettaw fil- nofs, ħlief għal hekk imsejħa bniedem fin-nofs. Din hija teknika ġenerali fid-dinja ta 'sigurtà magħrufa bħala attakk bniedem in-the-nofs. Ejja ngħidu li int dan ftit laptop minn hawn fuq ix-xellug, u ejja ngħidu li inti qed tipprova li jżuru server hemmhekk fuq il-lemin, bħal facebook.com. 

Iżda jissoponi li, fil- bejnek u Facebook, huwa mazz sħiħ ta 'servers oħra u tagħmir, bħal swiċċijiet u routers, Servers DNS, DHCP servers, ebda wieħed minnhom aħna kontroll. Jista 'jiġi kkontrollat ​​mill Starbucks jew Harvard jew Comcast jew bħalhom. Ukoll, ejja ngħidu li xi ħadd malizzjuż, fuq network tiegħek, fil bejnek u Facebook, huwa kapaċi jgħidlek li, inti taf liema, l-indirizz IP ta ' Facebook ma jkunx dak li taħseb li hu. Huwa dan IP minflok. 

U hekk browser tiegħek tricked fis titlob traffiku minn ieħor kompjuter altogether. Ukoll, jissoponi li l-kompjuter sempliċiment tħares lejn kollha tat-traffiku int titlob minn Facebook u kollha tal-paġni web li int titlob minn Facebook. U kull darba li jara fit-traffiku tiegħek URL li jibda bil HTTPS, b'mod dinamiku, fuq il- fly, rewrites bħala HTTP. U kull darba li jara post header, kolon post, bħal nużaw biex idawwru l-utent, dawk, wisq, tista 'tinbidel billi dan il-bniedem fil- l-nofs minn HTTPS għal HTTP. 

Allura anke jekk inti stess tista taħseb li int fil-Facebook reali, mhuwiex li diffiċli għal avversarju bil-aċċess fiżiku għal network tiegħek biex sempliċiment ritorn paġni lilek li dehra Gmail, dik look like Facebook, u tabilħaqq il-URL huwa identiċi, għaliex qed feint jkollhom l-istess isem ospitanti minħabba xi esplojtazzjoni ta 'DNS jew xi sistema oħra bħal dik. U r-riżultat, allura, huwa li aħna bnedmin tista biss jirrealizzaw li, OK, dan qisu Gmail jew għall-inqas il-verżjoni anzjani, kif dan slide minn preżentazzjoni anzjani. Iżda jidher qisu this-- http://www.google.com. 

Allura hawnhekk, wisq, ir-realtà hija li kif ħafna minnkom, meta inti tmur Facebook jew Gmail jew xi website u inti taf ftit xi ħaġa dwar SSL, kemm minnkom fiżikament tip https: // u mbagħad il-websajt isem, Ikteb. Ħafna minna biss tip, bħal, CS50, hit Ikteb, jew F-A għall Facebook u hit Ikteb, u ħallieh auto-komplet. Iżda wara l-kwinti, jekk inti watch traffiku HTTP tiegħek, hemm probabilment mazz sħiħ ta 'dawk headers lokalità li qed tibgħat inti minn Facebook biex www.facebook.com li https://www.facebook.com. 

Allura dak tranżazzjoni waħda jew aktar HTTP fejn l-informazzjoni tiegħek huwa kompletament mibgħuta fil-ċar, l-ebda encryption tkun xi tkun. Issa, dan jista 'ma jkunx big tali jittrattaw jekk inti kollha qed tipprova tagħmel huwa aċċess għall-homepage, int ma tibgħat username tiegħek u password. Imma x'inhu taħtha il-barnuża, speċjalment għall-websajts bbażati fuq PHP li wkoll qed tintbagħat quddiem u lura meta inti żżur xi webpage jekk li użi website, ngħidu aħna, PHP u timplimenta l-funzjonalità simili pset7? Dak li kien qed jintbagħtu lura u lura fl headers HTTP tiegħek li ħadt aċċess għal dan pretty utli super globali fil-PHP? 

Udjenza: Cookies. 

DAVID J. Malan: Cookies, speċifikament cookie ID-PHP sess. Allura recall, jekk immorru, jiġifieri, cs50.harvard.edu darb'oħra, iżda din id-darba, ejja tiftaħ il- Tab Network, u issa, hawn, ejja litteralment biss jmorru li http://cs50.harvard.edu u mbagħad hit Ikteb. U mbagħad tħares lejn l-iskrin stabbiliti hawn. Avviż li aħna tabilħaqq ltqajna lura 301 mċaqalqa b'mod permanenti messaġġ, li jfisser li hemm header post hawn, li issa hija ridirezzjonar lili biex HTTPS. 

Iżda l-qabda hija li, jekk I diġà kellha cookie stampata fuq naħa tiegħi virtwalment, kif konna diskussi qabel, u I-xorta tal-bniedem tal unknowingly biss żjara l prekarju verżjoni, u browser tiegħi tikkonsidraha lilha nnifisha biex juri li timbru idejn għall l-ewwel talba, li huwa permezz HTTP, kull bniedem fin-nofs, kwalunkwe avversarju fin-nofs, jista 'teoretikament biss tara dawk headers HTTP, biss simili aħna qed tħares lejn lilhom hawnhekk. Huwa biss ladarba int tkellem lil HTTPS URL ma li-timbru idejn innifsu jiksbu encrypted, a la Caesar jew Vigenere, iżda ma 'algoritmu fancier għal kollox. Allura hawnhekk, wisq, anki jekk websajts użu HTTPS, aħna bnedmin ġew kondizzjonati, grazzi għal tekniki awto-kompluti u oħrajn, li lanqas biss jaħsbu dwar l-implikazzjonijiet potenzjali. Issa, hemm modi madwar dan. Per eżempju, ħafna websajts jistgħu jiġu kkonfigurati sabiex, ladarba inti għandek dan idejn timbru, inti tista 'tgħid il-browser, dan it-timbru idejn huwa biss għall-konnessjonijiet SSL. Il-browser ma għandha tippreżenta lili sakemm huwa fuq SSL. Iżda bosta websajts ma jolqot ma 'dak. U ħafna websajts apparentement ma lanqas biss jitħajru ma SSL fil-livelli kollha. 

Allura għal aktar fuq li, hemm attwalment saħansitra aktar ħmieġ din il-preżentazzjoni li sħabi taw fil-hekk imsejħa iswed konferenza hat ftit ta 'snin ilu, fejn hemm anke oħrajn nies tricks malizzjużi użaw. Inti tista 'recall dan kunċett ta 'favicon, li huwa bħal logo ftit li l- spiss fil-tieqa tal-brawżer. Ukoll, dak li kien komuni fost guys ħżiena huwa biex tagħmel ikoni illamtat li jixbhu dak? UDJENZA: [inaudible]. DAVID J. Malan: Say mill-ġdid? UDJENZA: Il-websajts. DAVID J. Malan: Mhux websajt. Allura favicon, icon ftit żgħira. Liema jkun l-aktar malizzjużi, ħaġa manipulattivi inti tista 'tagħmel l-website tiegħek icon default look like? UDJENZA: A lock aħdar. DAVID J. Malan: X'hemm li? UDJENZA: A lock aħdar ftit. DAVID J. Malan: Bħall lock aħdar, eżattament. Allura inti jista 'jkollhom dan estetiku ta 'katnazz aħdar ftit, ssemmi għad-dinja, oh, aħna qed jiżguraw, meta, għal darb'oħra, kollha dan ifisser huwa li inti taf xi HTML. Allura ħtif sessjoni tirreferi għal eżattament dan. Jekk għandek xi ħadd li tip ta ' xamm l-frekwenzi radjuteleviżivi f'din il-kamra hawn jew ikollu aċċess fiżiku għal network u tista 'tara cookies tiegħek, hu jew hi jistgħu grab li Cookie ID PHP sess. U mbagħad, jekk dawn qed sofistikati biżżejjed biex tkun taf kif tibgħat dak il-cookie bħala tagħhom stess timbru idejn biss billi jikkopja dak il-valur u jibgħat l-headers HTTP, xi ħadd jista 'faċilment log fi kwalunkwe ta 'l-Facebook kontijiet jew kontijiet Gmail jew kontijiet Twitter li huma hawn, miftuħa fil-kamra, jekk int ma tuża SSL u jekk il-websajt hija ma jużawx SSL b'mod korrett. 

Mela ejja transizzjoni lejn xulxin. Allura istorja vera ieħor. U dan biss kissru fil- aħbarijiet ġimgħa jew tnejn ilu. Verizon kienet tagħmel ħaġa ħażen ħafna, u bħala aqwa nies tista 'tgħid, mill-inqas mill-2012, li biha, meta inti tagħmel aċċess websajts permezz ta 'Verizon cellphone, tkun xi manifattur huwa, kienu presumptuously, kif l-istorja tmur, tinjetta fis kollha ta 'HTTP tiegħek traffiku header HTTP tagħhom stess. U li header jistenna bħal this-- X-UIDH. UID huwa bħal unika identifikatur jew l-utent ID. U X ifisser biss dan huwa custom header li mhux standard. 

Imma dak li dan ifisser hija li, jekk I pull up, per eżempju, kwalunkwe websajt fuq here-- mobile tiegħi u jien jużaw Verizon bħala carrier-- tiegħi anki jekk browser tiegħi jista 'ma jkunx tkun qed tibgħat din HTTP header, Verizon, malli bħala l-sinjal jilħaq tagħhom torri cellphone x'imkien, ilha għal xi żmien tinjetta din header fis kollha ta 'traffiku HTTP tagħna. Għalfejn huma jagħmlu dan? Probabbilment minħabba raġjunijiet traċċar, għal raġunijiet ta 'reklamar. 

Iżda d-deċiżjoni tad-disinn moronic hawnhekk hija li header HTTP, kif inti guys taf minn pset6, tasal minn xi web server li int titlob traffiku tal. Allura dan il-ħin, jekk inti kont qed iżżur Facebook jew Gmail jew xi websajt li ma jużax SSL l-time-- u fil-fatt, dawk tnejn Thankfully issa do-- iżda websites oħra li ma jużawx SSL il-ħin kollu, Verizon għandha essenzjalment ġew tħawwil, bil-forza, timbru idejn fuq kollha ta 'tagħna idejn li anke aħna ma tara, iżda, il-websajts tmiem do. U għalhekk ma kienx li diffiċli għal xi ħadd fuq l-internet tmexxija ta 'web server li realizzata, ooh, dan huwa David, jew, ooh, dan huwa Davin, anke jekk aħna qed rigoruża dwar ikklerjar cookies tagħna, għaliex mhuwiex ġejjin minn us. Huwa li ġejjin mit-trasportatur. 

Huma jagħmlu Lookup fuq numru tat-telefon tiegħek u mbagħad jgħidu, oh, dan huwa David. Let me tinjetta identifikatur uniku hekk li min jirriklama tagħna jew min jista iżżomm kont ta 'dan. Allura dan huwa attwalment ħafna, ħafna, ħażina ħafna u horrifying. U jien ninkoraġġukom biex tagħti ħarsa, per eżempju, f'dan URL, li għandi jiċħadx I attwalment ppruvaw din dalgħodu. I kiteb b'kitba ftit, poġġih fil dan il-URL, żar bl Verizon tiegħi stess Cellphone wara tidwir Wi-Fi off. Allura inti għandek biex inbiddlu Wi-Fi off sabiex inti qed tuża 3G jew LTE jew bħalhom. U mbagħad, jekk inti żżur dan il-URL, kollha din l-iskrittura ma għalik guys, jekk inti tixtieq li jilagħbu, ma huwa spits out dak HTTP headers telefon tiegħek hija li jibgħat lill-server tagħna. U I attwalment, fil-ġustizzja, ma ma tara dan dalgħodu, li jagħmel me think jew lokali torri cellphone I kien konness ma jew whatnot qed ma nagħmilx hekk, jew li ħadthom appoġġjati off ta 'kif isir dan temporanjament. Iżda għal aktar informazzjoni, li ras għal dan il-URL hawn. 

U issa li this-- dan komiks jista 'jagħmel sens. No? OK. Kull dritt. Li miet. Kull dritt. 

Mela ejja tagħti ħarsa lejn koppja ta 'aktar attakki, jekk biss biex iqajmu kuxjenza dwar u mbagħad joffru koppja soluzzjonijiet potenzjali hekk li int l-aktar konxja. Dan wieħed tkellimna dwar l-ieħor jum, iżda ma jagħtu l-isem lilha. Huwa talba falsifikazzjoni cross-sit, li huwa mod eċċessivament fancy ta 'tgħid inti trick utent fis tikklikkja fuq URL bħal dan, li tricks minnhom fis xi mġiba li ma kinitx intenzjonata. 

F'dan il-każ, dan jidher li għandha tipprova trick me fis-bejgħ f'ishma tiegħi ta 'Google. U dan se tirnexxi jekk I, il-programmer ta pset7, m'għamlux dak? Jew pjuttost, b'mod iktar ġenerali, f'dak li każijiet am I vulnerabbli għal attakk Jekk xi ħadd tricks utent ieħor fis tikklikkja URL bħal din? Yeah? 

UDJENZA: Inti ma jiddistingwux bejn IKOLLOK u POST. 

DAVID J. Malan: Tajba. Jekk aħna ma jiddistingwux bejn IKOLLOK u POST, u tabilħaqq, jekk inħallu IKOLLOK għall-bejgħ affarijiet, aħna qed tistieden dan it-tip ta 'attakk. Iżda aħna xorta jistgħu jtaffu kemmxejn. And I kkummentaw, I think, aħħar ġimgħa li Amazon inqas tipprova biex jittaffa dan ma 'teknika li pjuttost sempliċi. Xi jkun ħaġa intelliġenti tagħmel tkun fuq server tiegħek, aktar milli biss bl-addoċċ bejgħ ikun x'ikun simbolu it-tipi utent fil-? UDJENZA: Konferma ta 'tip? DAVID J. Malan: A iskrin konferma, xi ħaġa li tinvolvi interazzjoni tal-bniedem hekk li jiena sfurzati li tagħmel is-sejħa sentenza, anki jekk stajt naively għafast rabta li tidher bħal dan u wasslitni għall-iskrin cell, fi inqas talabni biex jikkonfermaw jew jiċħdu. Imma mhux attakk mhux komuni, speċjalment fl-hekk imsejħa phishing jew spam simili attakki. 

Issa, dan wieħed huwa ftit aktar sottili. Dan huwa attakk scripting cross-site. U dan jiġri jekk tiegħek websajt ma tuża l-ekwivalenti ta 'htmlspecialchars. U huwa teħid jintuza mill-utent u biss bl-addoċċ tinjettaha ġo web page, bħala li jistampa jew eku, with-- again-- out ssejjaħ xi ħaġa bħal htmlspecialchars. 

Allura jissoponi l-websajt kwistjoni hija vulnerable.com. U jissoponi li taċċetta parametru imsejjaħ q. Ħares lejn dak li jista 'jiġri jekk I attwalment, Guy ħażina, tip fi jew trick utent fis jżuru URL li qisu this-- q = lametta iskrittura miftuħa, magħluqa tag iskrittura. U għal darb'oħra, jien jekk wieħed jassumi li vulnerable.com mhuwiex ser dawran perikolużi karattri bħal parentesi miftuħa f'entitajiet HTML, l- ampersand, L-T, ħaġa virgola li inti tista raw qabel. 

Imma dak li hu l-iskrittura jew kodiċi JavaScript Jien tipprova trick għal utent fis eżekuzzjoni? Ukoll, document.location jirreferi biex indirizz kurrenti browser tiegħi. Hekk jekk nagħmel document.location =, dan jippermetti lili biex idawwru l-utent fl JavaScript lil website. Huwa simili funzjoni PHP tagħna idawwru, iżda jsir fil-JavaScript. 

Fejn am I jippruvaw jibagħtu l-utent? Well, apparentement, badguy.com/log.php, li hija xi iskrittura, apparentement, il-Guy ħażina kiteb, li jieħu parametru imsejjaħ cookie. 

U l-avviż, liema do I jidhru li huma concatenating fuq it-tmiem ta 'dak is-sinjal ugwali? Ukoll, xi ħaġa li jgħid document.cookie. Aħna ma tkellmu dwar dan. Iżda jirriżulta, fl JavaScript, bħal fil PHP, inti tista 'aċċess kollha tal-cookies li browser tiegħek huwa attwalment tuża. 

Allura l-effett ta 'dan wieħed linja tal-kodiċi, jekk utent huwa tricked fis tikklikkja fuq din ir-rabta u l-vulnerable.com websajt ma jaħarbu bl htmlspecialchars, huwa li inti għandek biss b'mod effettiv tittella log.php kollha tal-cookies tiegħek. U li mhux dejjem dik problematika, ħlief jekk waħda minn dawk cookies huwa sessjoni ID tiegħek, tiegħek hekk imsejħa timbru idejn, li ifisser badguy.com jistgħu jagħmlu tiegħu jew tagħha stess Talbiet HTTP, jibgħat dak l-istess naħa timbru, dik l-istess header cookie, u log fis x'ikun website inti kienu jżuru, li fil- f'dan il-każ huwa vulnerable.com. Huwa scripting cross-sit attakk fis-sens li int tip ta 'tricking sit wieħed fis javżak sit ieħor dwar xi informazzjoni m'għandux, fil-fatt, ikollhom aċċess għall. 

Kull dritt, lesta għal wieħed dettall tħassib ieħor? Kull dritt, id-dinja hija post scary, leġittimament hekk. Hawn sempliċi Eżempju JavaScript thats fil-kodiċi sors tal-lum imsejħa lokalità ġeografika 0 u 1. U hemm koppja walkthroughs online għal dan. 

U ma li ġejjin jekk I tiftaħ din il-paġna web fil Chrome. Hija l-ewwel ma xejn. OK, aħna ser nippruvaw dan mill-ġdid. Oh. Le, dan għandu jagħmel xi ħaġa. OK, stand by. 

Ejja nippruvaw dan darba aktar. [Inaudible] Ah, OK, mhux ċert għaliex the-- oh, il-appliance probabbilment mitlufa internet aċċess għal xi raġuni. Kull dritt, hekk jiġri lili, wisq. 

Kull dritt, hekk avviż x'inhu għaddej hawn. Dan cryptic li tħares URL, li huwa biss wieħed ta 'server CS50, jixtieq li juża kompjuter tiegħi lokazzjoni, bħall fiżikament tfisser. U jekk, tabilħaqq, I ikklikkja fuq Ħalli, ejja ara dak li jiġri. Apparentement, dan huwa latitudni kurrenti tiegħi u lonġitudinali koordinati isfel għal riżoluzzjoni pretty darn tajba. 

Allura kif ma nasal fuq dan? Kif ma din il-websajt, bħal server CS50, jafu fiżikament fejn fid-dinja I am, aħseb u ara ma 'dak preċiżjoni. Ukoll, dawriet out-- ejja biss tħares lejn source-- tal-paġna li fil hawn huwa mazz ta 'HTML fi il-qiegħ li l-ewwel għandha this-- onload korp = "geolocate" - biss funzjoni I kiteb. 

U jien qal, fuq it-tagħbija il-paġna, sejħa geolocate. U allura hemm xejn fil-ġisem, għaliex fir-ras tal-paġna, Avviż dak li għandi hawn. Hawn funzjoni geolocate tiegħi. U dan huwa biss uħud żball checking-- jekk it-tip ta 'navigator.geolocation mhuwiex indefinit. Allura JavaScript għandha dan mekkaniżmu fejn inti tista 'tgħid, dak li huwa l- tip ta 'dan il-varjabbli? U jekk mhuwiex undefined-- li jfisser li huwa xi value-- Jien ser sejħa navigator.geolocation.getCurrentPosition u mbagħad callback. 

X'hemm dan? Allura b'mod ġenerali, dak li huwa callback, biss biex tkun ċara? Inti jista 'jkollok ltaqgħu magħhom dan diġà fil pset8. Callback l ġeneriku tul biex isir dak? Jħoss simili biss lili llum. UDJENZA: [inaudible]. DAVID J. Malan: Eżattament, funzjoni li għandha jintalab biss meta aħna jkollhom data. Din is-sejħa għall-browser, nikseb kurrenti tiegħi pożizzjoni, jista 'jieħu millisekonda waħda, jista 'jieħu minuta. X'inhu dan ifisser huwa li aħna qed ngħidu il-metodu get getCurrentPosition, sejħa din il-funzjoni callback, li jiena litteralment jismu callback għas-sempliċità, liema apparentement dan wieħed hawn. 

U l-mod getCurrentPosition xogħlijiet, sempliċiment mill-qari d-dokumentazzjoni għal xi kodiċi JavaScript online, huwa li huwa jappella li l-hekk imsejħa callback , funzjoni jgħaddi fis hu oġġett JavaScript, ġewwa tiegħu huwa .coords.latitude u .coords.longitude, li huwa eżattament kif, imbagħad, meta I tgħabba mill-ġdid din il-paġna, I kien kapaċi biex tara post tiegħi hawn. Issa, mill-inqas kien hemm difiża hawn. Qabel I miżjura din il-paġna, meta fil-fatt maħduma, dak li kien I-inqas imqanqla għall? 

UDJENZA: [inaudible]. 

DAVID J. Malan: Iva jew no-- do inti tixtieq li jippermettu jew li tiċħad dan? Imma naħseb, wisq, dwar il-drawwiet inti guys għandek probabbilment adottati, kemm fuq it-telefowns tiegħek u browsers tiegħek. Ħafna minna, myself inklużi, huma probabbilment pretty predisposti dawn days-- inti tara pop-up, biss tidħol, OK, japprova, Jippermettu. U dejjem aktar, inti tista 'tpoġġi lilek innifsek f'riskju għal dawn ir-raġunijiet. 

Allura fil-fatt, kien hemm dan bug isbaħ ftit snin ago-- jew nuqqas ta 'feature-- li iTunes kellha ftit snin ilu, li biha, jekk kellek cell phone, u kien iPhone, u inti xellug dar tiegħek u għalhekk vvjaġġaw madwar id-dinja jew il-lokal, dan il-ħin, telefon tiegħek kienet logging fejn inti via GPS. U dan huwa attwalment żvelata, u n-nies tip ta 'jistennew dan issa. Telefon tiegħek ikun jaf fejn int. Iżda l-problema kienet li, meta inti kienu rinforz up telefon tiegħek biex iTunes-- dan kien qabel il-ġranet ta iCloud, li huwa għall-aħjar jew għall worse-- l-informazzjoni kienet qed tiġi maħżuna fil iTunes, kompletament unencrypted. Mela jekk għandek familja jew roommates jew ġar malizzjużi li s kurjużi dwar litteralment kull GPS jikkoordinaw qatt kellek biex, hu jew hi tista 'biss joqogħdu bilqegħda fuq iTunes, run xi softwer li kien liberament disponibbli, u jipproduċu mapep bħal dan. 

Fil-fatt, dan huwa dak I prodotta tat-telefon tiegħi stess. I pplaggjat fil. U jidher qisu, ibbażata fuq l-tikek blu hemmhekk, li fejn aktar ta ' il-koordinati GPS kienu logged permezz iTunes li jien kien fil-Grigal hemmhekk. Imma jien apparentement traveled madwar daqsxejn, anke fi ħdan Massachusetts. 

Allura dak Boston Harbor hemm fuq il-lemin. C'est tip ta 'Cambridge u Boston, fejn huwa l-aktar skur. U kultant, I imur errands għal ġeografija akbar. 

Iżda iTunes, għas-snin, kellha, bħala l-aħjar I tista 'tgħid, kollha ta' din id-data fuqi. Inti tista 'tgħid li, dik is-sena, I kien attwalment jivvjaġġaw ħafna bejn Boston u New York, jmorru quddiem u lura u quddiem u lura. U fil-fatt, dan huwa me fuq Amtrak, dahar u lura, u lura, pjuttost ftit. Kollha ta 'dan kien qed illoggjat u maħżuna encrypted fuq il-kompjuter tiegħi għal kulmin jista 'jkollhom aċċess għall-kompjuter tiegħi. 

Dan kien tħassib. Ma kontx naf għaliex I kien fil-Pennsylvania jew għaliex telefon tiegħi kien fil-Pennsylvania, apparentement pjuttost densament. U mbagħad, finalment, Fittixt fil GCAL tiegħi, u, oh, I żar CMU, Carnegie Mellon, fil-ħin. U Phew, dak it-tip ta ' spjega li blip. U mbagħad, jekk inti zoom out ulterjuri, inti tista tara I miżjura San Francisco darbiet aktar allura wieħed jew, u I anke kellhom layover fil dak Naħseb huwa Vegas, stabbiliti hemmhekk. Allura kollha ta this-- biss layover, fl-ajruport. 

UDJENZA: [Rires] 

Allura dan huwa biss li jgħidu li dawn problemi, onestament, huma omnipreżenti. U biss iħoss dejjem aktar simili hemm aktar u aktar ta 'dan ma jinkixef, li probabbilment hija ħaġa tajba. I daresay, id-dinja mhix tiggrava fil-kitba software. Aħna qed jkollna aħjar, nisperaw, fil jinnota kif bad ċertu softwer huwa li aħna qed jużaw. U Thankfully, xi kumpaniji qed jibdew jinżammu responsabbli għal dan. 

Imma liema tipi ta 'difiżi inti jista 'jkollhom fil-moħħ? Allura minbarra maniġers password, bħal 1Password u LastPass u oħrajn, minbarra biss passwords jinbidlu tiegħek u toħroġ ma 'dawk każwali permezz ta 'softwer bħall- li, inti tista 'wkoll tipprova bħala l-aħjar li tista 'biex kriptaġġ kollha ta 'traffiku tiegħek għal mill-inqas dejqa-żona ta 'theddida. Allura per eżempju, bħala affiljati Harvard, inti kollha tista 'tmur vpn.harvard.edu u l-log ma ID Harvard tiegħek u PIN. U dan se tistabbilixxi sigura konnessjoni bejn inti u Harvard. 

Issa, dan ma neċessarjament tipproteġi lilek kontra kwalunkwe theddid li huma bejn Harvard u Facebook jew Harvard u Gmail. Imma jekk int seduta f'ajruport jew int seduta fil Starbucks jew int seduta fil-post ta 'ħabib, u inti ma verament fiduċja fihom jew tagħhom konfigurazzjoni tal router dar tagħhom, inqas inti tista 'tistabbilixxi konnessjoni sigura lil entità bħal dan il-post li l- probabbilment ftit aħjar assigurati minn xi ħaġa bħal Starbucks jew simili. U dak li dan ma huwa hija tistabbilixxi, għal darb'oħra, encryption bejnek u l-endpoint. 

Anki fancier huma affarijiet bħal dan. Sabiex xi wħud minnkom jista 'diġà ikun familjari mal-Tor, li huwa dan it-tip ta 'anonimizzazzjoni network, li biha lottijiet ta 'nies, jekk huma mmexxija dan is-software, ir-rotta sussegwentement internet tagħhom traffiku permezz xulxin. Għalhekk il-punt iqsar huwa m'għadhomx bejn A u B. Iżda jista 'jkun madwar il- post hekk li int essenzjalment jkopru binarji wieħed u jħallu inqas ta 'rekord dwar fejn HTTP tiegħek traffiku ġew minn, għaliex dan huwa għaddej permezz mazz sħiħ ta 'l nies oħrajn laptops jew desktops, għall-aħjar jew għall-agħar. 

Iżda anke din mhix ħaġa surefire. Xi wħud minnkom jista 'recall aħħar sena il-biża bomba li kienet imsejħa fl. U kien traċċjati finalment għal utent li kienet użat dan in-netwerk hawnhekk. U l-qabda hemmhekk, kif niftakar, huwa, jekk ikun hemm mhux li ħafna nies oħra użu ta 'softwer bħal dan jew jużaw dan il-port u l-protokoll, mhuwiex li diffiċli għal netwerk li anki figura li, b'xi probabbilità, kienet fil-fatt anonimità traffiku tiegħu jew tagħha. 

U jien ma nafx jekk dawk kienu l- partikolaritajiet attwali in kwistjoni. Iżda żgur, tirrealizza li l-ebda dawn huma soluzzjonijiet surefire, kif ukoll. U l-għan hawn illum huwa li l-inqas inti tikseb jaħsbu dwar dawn l-affarijiet u toħroġ bi tekniki għall tiddefendi ruħek kontra tagħhom. Kwalunkwe mistoqsijiet fuq kollha tal-theddid li tistenna minnkom hemmhekk, u fil hawn? Yeah? UDJENZA: Kif sigura do aħna nistennew li l-medja [? website li tkun,] bħal il-proġett medja CS50? 

DAVID J. Malan: Il- proġett medja CS50? Huwa dejjem ippruvat kull sena li xi proġetti finali CS50 mhumiex partikolarment sigur. Normalment, huwa xi roommate jew hallmate l-figuri dan out billi jibgħat talbiet għall-proġett tiegħek. 

Answer-- qasir kemm websites huma sikuri? Jien picking dwar anomaliji llum. Bhalu kien biss happenstance li I induna li din il-websajt Stajt ġiet tordna dawn franchement arranġamenti Delicious from-- u M'inix ċert I ser tieqaf tuża websajt tagħhom; I tista 'biss bidla tiegħi password aktar regularly-- mhuwiex ċar kemm vulnerabbli dawn kollha various-- dan huwa attwalment koperti ċikkulata. Ir-risposta qasira, I ma tistax twieġeb li effettiv, minbarra li jgħidu li din Ma kienx li diffiċli għalija li isibu xi wħud minn dawn l-eżempji biss għall-fini ta 'diskussjoni fil-lecture. U biss żżomm għajnejk fuq Google News u riżorsi oħra se jġibu l-aktar ta ' dawn it-tipi ta 'affarijiet għad-dawl. 

Kull dritt, ejja jikkonkludu ma 'dan prequel li t-tim CS50 tal ħejja għalik fl-antiċipazzjoni ta 'l-Hackathon CS50. U fuq tiegħek mod out fil- mument, frott ser jiġi servut. [Daqq ta 'video] [MUSIC Fergie, TIP Q, U GOONROCK, "A LITTLE PARTY QATT maqtula ħadd (ALL WE GOT) "] 

- [Snoring] [END daqq ta 'video] DAVID J. Malan: Li lilha għall CS50. Aħna ser tara int nhar l-Erbgħa. [MUSIC - SKRILLEX, "JIEN" TRY IT OUT "]