1 00:00:00,000 --> 00:00:11,300 2 00:00:11,300 --> 00:00:15,490 >> DAVID J. MALAN: Dit is CS50, en dit is het begin van week 10. 3 00:00:15,490 --> 00:00:19,460 U herinnert zich misschien dat we hebben laten zien op het scherm een ​​3D printer, die 4 00:00:19,460 --> 00:00:21,610 is dit apparaat dat neemt spoelen van plastic 5 00:00:21,610 --> 00:00:24,840 en extrudeert vervolgens door verwarmen up en smelten het zo dat we kunnen dan 6 00:00:24,840 --> 00:00:27,310 vormen Chang's leger van olifanten, bijvoorbeeld. 7 00:00:27,310 --> 00:00:29,184 >> Dus op Leverett House, hoewel, onlangs, ik 8 00:00:29,184 --> 00:00:31,850 zat te kletsen met een van uw klasgenoten en een vriend van Chang's 9 00:00:31,850 --> 00:00:35,720 genaamd Michelle, die eigenlijk geïnterneerd op deze ander bedrijf het afgelopen jaar dat 10 00:00:35,720 --> 00:00:40,010 een andere techniek voor het daadwerkelijk het creëren van driedimensionale objecten, 11 00:00:40,010 --> 00:00:41,890 zoals dit kleine olifantje hier. 12 00:00:41,890 --> 00:00:45,550 In het bijzonder, hoe deze werkt is dat het een voorbeeld van iets 13 00:00:45,550 --> 00:00:49,740 genoemd stereolithografie, waarbij er is dit bekken van hars of vloeistof, 14 00:00:49,740 --> 00:00:53,340 en dan een laser slaat dat vloeistof, en geleidelijk, het apparaat 15 00:00:53,340 --> 00:00:56,990 liften en liften en tilt het ding dat u afdrukt, zoals een olifant, 16 00:00:56,990 --> 00:00:58,676 als vloeibaar vast wordt. 17 00:00:58,676 --> 00:01:00,550 En het resultaat, eigenlijk, is iets dat 18 00:01:00,550 --> 00:01:04,194 veel robuuster dan sommige van de plastic giveaways sommigen van jullie 19 00:01:04,194 --> 00:01:04,819 zou kunnen hebben. 20 00:01:04,819 --> 00:01:06,860 >> En wat Chang vriendelijk deed voor ons hier was 21 00:01:06,860 --> 00:01:12,210 deed een time-lapse hand van foto's in de loop van een uur of meer, 22 00:01:12,210 --> 00:01:14,580 waarschijnlijk, om deze man hier produceren. 23 00:01:14,580 --> 00:01:19,060 Zou iemand die nooit is gekomen vóór graag komen hit Start op deze video? 24 00:01:19,060 --> 00:01:21,250 Laat me gaan met, hoe zit het daar. 25 00:01:21,250 --> 00:01:21,790 Come on up. 26 00:01:21,790 --> 00:01:24,960 27 00:01:24,960 --> 00:01:25,460 Prima. 28 00:01:25,460 --> 00:01:29,250 29 00:01:29,250 --> 00:01:29,896 En jij bent? 30 00:01:29,896 --> 00:01:31,270 LUKAS: Mijn naam is Luke [onverstaanbaar]. 31 00:01:31,270 --> 00:01:31,700 DAVID J. MALAN: Hoi, Luke. 32 00:01:31,700 --> 00:01:32,695 Leuk u te ontmoeten. 33 00:01:32,695 --> 00:01:33,653 >> LUKAS: Leuk je te ontmoeten. 34 00:01:33,653 --> 00:01:35,120 PUBLIEK: Hij loopt voor UC. 35 00:01:35,120 --> 00:01:38,640 >> DAVID J. MALAN: Ik weet het, we proberen niet te bevorderen. 36 00:01:38,640 --> 00:01:41,240 Oké, dus Luke, alle je hoeft te doen hier in CS50 37 00:01:41,240 --> 00:01:45,829 wordt druk op de spatiebalk om deze olifant af te drukken. 38 00:01:45,829 --> 00:01:46,495 [VIDEO AFSPELEN] 39 00:01:46,495 --> 00:01:49,988 - [MACHINE zoemend] 40 00:01:49,988 --> 00:02:00,467 41 00:02:00,467 --> 00:02:01,964 - [CRASH] 42 00:02:01,964 --> 00:02:04,459 - [BOOM] 43 00:02:04,459 --> 00:02:06,147 - [CRASH] 44 00:02:06,147 --> 00:02:06,980 [END VIDEO AFSPELEN] 45 00:02:06,980 --> 00:02:09,370 DAVID J. MALAN: Dus dat is precies hoe het is om 3D-print. 46 00:02:09,370 --> 00:02:10,453 En hier is uw olifant. 47 00:02:10,453 --> 00:02:12,100 Bedankt voor het vrijwilligerswerk. 48 00:02:12,100 --> 00:02:12,830 Prima. 49 00:02:12,830 --> 00:02:16,580 Dus nogmaals, volgens de specificatie voor het afstudeerproject, deze hardware dat is 50 00:02:16,580 --> 00:02:18,890 beschikbaar voor jullie is een of andere reden, 51 00:02:18,890 --> 00:02:21,870 uw project heeft enkele kruising van software en hardware, 52 00:02:21,870 --> 00:02:24,650 beseffen dat deze zijn nu middelen. 53 00:02:24,650 --> 00:02:27,750 >> Ik wilde een moment te nemen om te raken upon a Crimson artikel dat kwam 54 00:02:27,750 --> 00:02:30,541 gisteravond laat, dat was om kondigen dat deze man hier, David 55 00:02:30,541 --> 00:02:33,920 Johnson, die is de senior geweest leermeester voor Ec 10 voor geruime tijd, 56 00:02:33,920 --> 00:02:36,210 verlaat Harvard in de einde van het academiejaar. 57 00:02:36,210 --> 00:02:38,390 En ik wilde gewoon neem een ​​moment, eerlijk gezegd, 58 00:02:38,390 --> 00:02:41,620 David bedanken voor CS50. 59 00:02:41,620 --> 00:02:44,360 Hij is een mentor van soorten om ons door de jaren heen. 60 00:02:44,360 --> 00:02:46,980 >> En ik het gevoel dat we, CS50, hebben plaats opgegroeid met Ec 10 61 00:02:46,980 --> 00:02:48,870 in hier, omdat ze vlak voor ons. 62 00:02:48,870 --> 00:02:52,040 En hij en het hele team in Ec 10 heeft geweest heerlijk gracieuze, eerlijk gezegd, 63 00:02:52,040 --> 00:02:55,410 zoals we sjouwen al onze apparatuur elke week, en jaren geleden, 64 00:02:55,410 --> 00:02:57,320 zorgde voor een sterke van de raadsman als we waren 65 00:02:57,320 --> 00:02:59,520 benieuwd hoe ze Ec 10 bedienen. 66 00:02:59,520 --> 00:03:02,640 Dus onze dank en bewondering voor David Johnson. 67 00:03:02,640 --> 00:03:06,560 >> [Applaus] 68 00:03:06,560 --> 00:03:08,030 69 00:03:08,030 --> 00:03:12,180 >> Nu, unrelatedly, dus het einde is inderdaad in de buurt. 70 00:03:12,180 --> 00:03:13,630 Wij zijn hier in week 10. 71 00:03:13,630 --> 00:03:15,920 En we hebben nog maar net een paar formele weken 72 00:03:15,920 --> 00:03:18,320 hier in klasse linker, gevolgd door een paar gebeurtenissen. 73 00:03:18,320 --> 00:03:21,860 Dus om je een gevoel van wat is te geven aan de horizon, hier zijn we vandaag. 74 00:03:21,860 --> 00:03:24,480 >> Deze woensdag, recall, we zullen een gastcollege hebben 75 00:03:24,480 --> 00:03:27,040 door niemand minder dan Microsoft's eigen Steve Ballmer. 76 00:03:27,040 --> 00:03:31,740 Als u nog niet bent gegaan naar cs50.harvard.edu/register, 77 00:03:31,740 --> 00:03:33,360 doen, aangezien ruimte beperkt. 78 00:03:33,360 --> 00:03:36,447 En zij zullen het controleren Id's aan de deur op de dag. 79 00:03:36,447 --> 00:03:38,280 Als je hier niet vorige week, ik dacht dat ik zou 80 00:03:38,280 --> 00:03:41,850 plagen je met een ander uiterlijk bij Steve en de opwinding die 81 00:03:41,850 --> 00:03:44,215 wacht ons op woensdag. 82 00:03:44,215 --> 00:03:45,205 >> [VIDEO AFSPELEN] 83 00:03:45,205 --> 00:03:46,195 >> -Passion. 84 00:03:46,195 --> 00:03:50,650 >> -We Gaan hardcore-- hardcore zijn. 85 00:03:50,650 --> 00:03:51,640 >> -Innovator. 86 00:03:51,640 --> 00:03:53,339 >> -Bill Zei, je snapt het niet. 87 00:03:53,339 --> 00:03:55,130 We gaan naar een zet computer op elk bureau 88 00:03:55,130 --> 00:03:58,690 en in elk huis, dat werd het motto van het bedrijf. 89 00:03:58,690 --> 00:04:01,850 Ik zweer het, Bill uitgevonden die nacht voor mij echt geven 90 00:04:01,850 --> 00:04:04,370 een aantal van de visie van waarom moet ik zeggen ja. 91 00:04:04,370 --> 00:04:07,280 Ik heb nooit meer achterom gekeken, echt, na dat. 92 00:04:07,280 --> 00:04:10,010 >> -Verse Van de universiteit, hij aangesloten bij een prille startup 93 00:04:10,010 --> 00:04:14,450 en hielp het uitgroeien tot een van Amerika's meest succesvolle bedrijven ooit. 94 00:04:14,450 --> 00:04:16,920 Het leven van en het bedrijfsleven geleerde lessen langs de weg 95 00:04:16,920 --> 00:04:19,925 laat hem terug naar zijn passie jeugd en liefde. 96 00:04:19,925 --> 00:04:24,650 En die ervaringen hebben voorbereid hem voor zijn volgende uitdaging in het leven. 97 00:04:24,650 --> 00:04:27,150 >> -niets Krijgt in onze way-- boem! 98 00:04:27,150 --> 00:04:29,330 Blijven komen hardcore! 99 00:04:29,330 --> 00:04:31,150 Ga Clippers! 100 00:04:31,150 --> 00:04:38,627 >> -Dit Is Steve Ballmer, "In My Own Words '. 101 00:04:38,627 --> 00:04:39,460 [END VIDEO AFSPELEN] 102 00:04:39,460 --> 00:04:41,240 DAVID J. MALAN: --deze Woensdag tot en CS50. 103 00:04:41,240 --> 00:04:43,080 Hoofd weer naar deze URL hier. 104 00:04:43,080 --> 00:04:46,500 Zoals voor wat anders is aan de horizon, volgende week, geen lezing op maandag. 105 00:04:46,500 --> 00:04:50,020 Maar we zullen na die door quiz één op woensdag. 106 00:04:50,020 --> 00:04:54,390 Ga naar CS50's homepage voor meer informatie over mensen, plaatsen en tijden 107 00:04:54,390 --> 00:04:57,640 voor alle verschillende proctoring logistiek en dergelijke, 108 00:04:57,640 --> 00:05:00,190 evenals over beoordeling sessies die aanstaande zijn. 109 00:05:00,190 --> 00:05:06,479 En dan, tot slot, op maandag, de dag vóór de week van Thanksgiving break, 110 00:05:06,479 --> 00:05:08,020 realiseren zal het onze laatste lezing zijn. 111 00:05:08,020 --> 00:05:11,490 We zullen taart en een grote dienst deal van opwinding, hopen we. 112 00:05:11,490 --> 00:05:13,976 >> Nu, een paar andere updates. 113 00:05:13,976 --> 00:05:16,350 Houd in gedachten dat de status rapport, dat is eigenlijk gewoon 114 00:05:16,350 --> 00:05:20,430 bedoeld om een ​​toevallige wisselwerking met uw TF om trots zeggen gewoon 115 00:05:20,430 --> 00:05:23,106 hoever met afstudeerproject je bent, 116 00:05:23,106 --> 00:05:24,980 of op zijn minst als een sanity controleer of je moet 117 00:05:24,980 --> 00:05:27,250 benaderen dat wijzen kort daarna. 118 00:05:27,250 --> 00:05:28,660 De Hackathon volgt dan dat. 119 00:05:28,660 --> 00:05:30,800 Realiseer de Hackathon geen kans 120 00:05:30,800 --> 00:05:33,690 om uw uiteindelijke project te starten, maar is bedoeld als een kans 121 00:05:33,690 --> 00:05:37,040 om in het midden van of naar het einde van je afstudeerproject, 122 00:05:37,040 --> 00:05:41,030 met de uitvoering als gevolg van een paar dagen later gevolgd door de CS50 beurs. 123 00:05:41,030 --> 00:05:43,330 >> Nu, productie CS50's team, een paar jaar geleden, 124 00:05:43,330 --> 00:05:46,127 samen een teaser voor de CS50 eerlijk dat we 125 00:05:46,127 --> 00:05:48,710 dacht dat we je zou laten zien vandaag, omdat ze hard aan het werk geweest 126 00:05:48,710 --> 00:05:51,930 een prequel voor dat een nieuwe video dat we vandaag zullen sluiten met. 127 00:05:51,930 --> 00:05:57,694 Maar hier is wat je te wachten staat voor dit jaar de CS50 fair. 128 00:05:57,694 --> 00:05:58,360 [VIDEO AFSPELEN] 129 00:05:58,360 --> 00:06:00,680 - [CELL telefoon rinkelen] 130 00:06:00,680 --> 00:06:07,624 131 00:06:07,624 --> 00:06:11,117 [MUZIEK "Theme From Mission: Impossible"] 132 00:06:11,117 --> 00:08:47,065 133 00:08:47,065 --> 00:08:52,820 [END VIDEO AFSPELEN] 134 00:08:52,820 --> 00:08:56,840 DAVID J. MALAN: Dus dat is precies hoe we sluiten afstudeerproject inzendingen. 135 00:08:56,840 --> 00:08:59,220 Een paar nu teasers-- indien u wilt Nick hier mee 136 00:08:59,220 --> 00:09:02,740 voor de lunch, zoals gebruikelijk, dit Vrijdag, ga naar deze URL hier. 137 00:09:02,740 --> 00:09:05,530 Bovendien, als je zou willen Nick of deze Nick meedoen 138 00:09:05,530 --> 00:09:08,770 of dit Allison of enige leden van CS50's team, 139 00:09:08,770 --> 00:09:11,110 beseffen dat, kort na afloop termijn's, 140 00:09:11,110 --> 00:09:13,780 CS50 wordt reeds werven voor het team van volgend jaar, 141 00:09:13,780 --> 00:09:18,130 voor CA's, TFS, ontwerpers, producenten, onderzoekers en andere posities 142 00:09:18,130 --> 00:09:21,790 die hier werken CS50 zowel in voor en achter de schermen. 143 00:09:21,790 --> 00:09:25,482 Dus als dit van belang zou kunnen zijn aan u, het hoofd naar deze URL hier. 144 00:09:25,482 --> 00:09:28,190 En studenten comfortabeler, minder comfortabel en ergens 145 00:09:28,190 --> 00:09:31,710 tussen alike zijn allemaal welkom en aangemoedigd om te solliciteren. 146 00:09:31,710 --> 00:09:34,920 >> Dus het was een perfecte timing dat, geen grap, deze morgen, toen ik wakker werd, 147 00:09:34,920 --> 00:09:37,220 Ik had dit hier spam in mijn inbox. 148 00:09:37,220 --> 00:09:39,420 Het eigenlijk gleed door middel van Gmail spamfilter 149 00:09:39,420 --> 00:09:41,659 een of andere manier en belandde in mijn werkelijke inbox. 150 00:09:41,659 --> 00:09:43,700 En het zegt: "Lieve mailbox gebruiker, je bent op dit moment 151 00:09:43,700 --> 00:09:45,240 opgewaardeerd tot 4 gigabyte aan ruimte. 152 00:09:45,240 --> 00:09:50,750 Log in op uw account teneinde E-space valideren. " 153 00:09:50,750 --> 00:09:54,100 >> En dan is er nog dit mooie blauwe verleidelijke koppeling er aan te klikken 154 00:09:54,100 --> 00:09:59,480 voor docenten en personeel, die vervolgens leidde me om een ​​heerlijk legitieme pagina, die 155 00:09:59,480 --> 00:10:02,300 vroeg me om hen mijn naam te geven en emailadres en, natuurlijk, 156 00:10:02,300 --> 00:10:05,090 wachtwoord te valideren wie ik ben, enzovoort. 157 00:10:05,090 --> 00:10:09,330 Maar natuurlijk, zoals altijd het geval is, u aankomt op deze landing page, 158 00:10:09,330 --> 00:10:11,370 en natuurlijk is er ten minste een typo, 159 00:10:11,370 --> 00:10:14,840 die lijkt op de nagel in zijn de kist van een van deze oplichting. 160 00:10:14,840 --> 00:10:17,890 En we zullen posten, misschien, een aantal andere links naar dit soort screen shots 161 00:10:17,890 --> 00:10:18,473 in de toekomst. 162 00:10:18,473 --> 00:10:22,535 Maar hopelijk, de meeste mensen in deze kamer zijn niet clicked-- 163 00:10:22,535 --> 00:10:24,410 of zelfs als je hebt geklikt dergelijke links als dit, 164 00:10:24,410 --> 00:10:28,040 je hebt niet zo ver gegaan om invullen van deze formulieren, enzovoort. 165 00:10:28,040 --> 00:10:30,210 Sterker nog, het is OK als je hebt. 166 00:10:30,210 --> 00:10:33,410 We zullen proberen om dat vandaag te repareren, omdat, inderdaad, het gesprek van vandaag is 167 00:10:33,410 --> 00:10:34,450 over beveiliging. 168 00:10:34,450 --> 00:10:36,500 >> En inderdaad, een van de doelen van de CS50 is niet 169 00:10:36,500 --> 00:10:38,980 zo veel om je te leren CE of PHP of JavaScript of SQL 170 00:10:38,980 --> 00:10:41,610 of een van deze onderliggende implementatie details. 171 00:10:41,610 --> 00:10:45,612 Maar het is aan u te machtigen als mens om gewoon betere beslissingen te nemen als het 172 00:10:45,612 --> 00:10:48,070 heeft betrekking op technologie beneden de weg zodat, of je nu 173 00:10:48,070 --> 00:10:51,370 een ingenieur of humanistische of wetenschapper of andere rol, 174 00:10:51,370 --> 00:10:54,970 u het maken van geïnformeerde beslissingen over je eigen computer gebruik, 175 00:10:54,970 --> 00:10:56,980 of als je in een besluitvormende positie, 176 00:10:56,980 --> 00:10:59,250 in de politiek, in het bijzonder, je maakt veel, 177 00:10:59,250 --> 00:11:02,770 veel betere beslissingen dan een Veel mensen huidige. 178 00:11:02,770 --> 00:11:04,830 En we zullen dit doen door middel van enkele voorbeelden. 179 00:11:04,830 --> 00:11:09,030 >> Eerst was ik nogal verbaasd onlangs aan het volgende te ontdekken. 180 00:11:09,030 --> 00:11:11,120 Dus wachtwoorden, natuurlijk zijn wat de meeste van ons 181 00:11:11,120 --> 00:11:18,030 gebruiken om onze data-- email beschermen, chatten, en allerlei middelen als dat. 182 00:11:18,030 --> 00:11:23,020 En net door een awkward-- niet tonen van handen, maar beschaamd looks van schaamte, 183 00:11:23,020 --> 00:11:26,600 hoeveel van jullie gebruiken hetzelfde wachtwoord in een heleboel verschillende websites? 184 00:11:26,600 --> 00:11:28,020 >> Oh, OK, dus we zullen de handen doen. 185 00:11:28,020 --> 00:11:30,950 OK, dus veel van wat je doet. 186 00:11:30,950 --> 00:11:33,770 Iedereen die dit doet, maar waarom? 187 00:11:33,770 --> 00:11:35,078 En wat? 188 00:11:35,078 --> 00:11:36,537 Yeah? 189 00:11:36,537 --> 00:11:39,870 Publiek: Het is makkelijk te onthouden, omdat je niet hoeft te onthouden [onverstaanbaar]. 190 00:11:39,870 --> 00:11:41,703 DAVID J. MALAN: Yeah, het is makkelijk te onthouden. 191 00:11:41,703 --> 00:11:44,560 Het is een volkomen redelijke, rationeel gedrag, 192 00:11:44,560 --> 00:11:46,920 hoewel het risico je bent om jezelf 193 00:11:46,920 --> 00:11:50,540 in de volgende gevallen is het gewoon één of meer van deze websites 194 00:11:50,540 --> 00:11:54,510 kwetsbaar voor hackers of onzeker of uw wachtwoord is gewoon 195 00:11:54,510 --> 00:11:57,130 zo darn te raden, iedereen kan er wel uit. 196 00:11:57,130 --> 00:11:59,850 Niet alleen één account aangetast, maar in theorie elke 197 00:11:59,850 --> 00:12:01,280 accounts die u hebt op het internet. 198 00:12:01,280 --> 00:12:04,550 Dus ik weet dat ik zou vandaag zeggen, niet doen gebruiken overal hetzelfde wachtwoord, 199 00:12:04,550 --> 00:12:06,450 maar dat is een stuk makkelijker gezegd dan gedaan. 200 00:12:06,450 --> 00:12:10,850 Maar er zijn technieken voor de vermindering van die bijzondere zorg. 201 00:12:10,850 --> 00:12:14,030 >> Nu, ik gebeuren, bijvoorbeeld naar gebruik maken van een programma genaamd 1Password. 202 00:12:14,030 --> 00:12:16,010 Een andere populaire ene heet LastPass. 203 00:12:16,010 --> 00:12:19,030 En een hoop CS50 personeel gebruik één of meer van deze soorten gereedschappen. 204 00:12:19,030 --> 00:12:20,940 En lang verhaal kort, een afhaalrestaurant voor vandaag 205 00:12:20,940 --> 00:12:25,080 zou moeten zijn, ja, je zou kunnen hebben overal hetzelfde wachtwoord, 206 00:12:25,080 --> 00:12:27,260 maar het is heel makkelijk om niet meer doen. 207 00:12:27,260 --> 00:12:31,260 Bijvoorbeeld, deze dagen, ik weet misschien een van mijn tientallen of honderden 208 00:12:31,260 --> 00:12:31,910 van wachtwoorden. 209 00:12:31,910 --> 00:12:33,990 Al mijn andere wachtwoorden pseudo-willekeurig 210 00:12:33,990 --> 00:12:36,046 gegenereerd door een van deze programma's hier. 211 00:12:36,046 --> 00:12:38,420 En in een notendop, en zelfs hoewel de meeste van deze programma 212 00:12:38,420 --> 00:12:41,487 de neiging om te komen met een beetje van een kosten, je zou een programma als dit te installeren, 213 00:12:41,487 --> 00:12:43,820 je zou dan al op te slaan uw gebruikersnamen en wachtwoorden 214 00:12:43,820 --> 00:12:46,960 binnen dit programma je eigen Mac of pc of wat, 215 00:12:46,960 --> 00:12:49,290 en dan zou het zijn gecodeerd op uw computer 216 00:12:49,290 --> 00:12:51,599 met wat hopelijk een bijzonder lang wachtwoord. 217 00:12:51,599 --> 00:12:54,140 Dus ik heb een hele hoop van wachtwoorden voor afzonderlijke websites, 218 00:12:54,140 --> 00:12:56,390 en dan heb ik een echt lang vergeten dat ik 219 00:12:56,390 --> 00:12:59,059 gebruiken om alle openen die andere wachtwoorden. 220 00:12:59,059 --> 00:13:00,850 En wat is er leuk aan software als deze is 221 00:13:00,850 --> 00:13:04,016 dat, wanneer u een website bezoekt die vragen om uw gebruikersnaam en wachtwoord, 222 00:13:04,016 --> 00:13:06,304 deze dagen, weet ik niet het type in mijn gebruikersnaam en wachtwoord, 223 00:13:06,304 --> 00:13:08,970 omdat, nogmaals, ik weet niet eens wat de meeste van mijn wachtwoorden zijn. 224 00:13:08,970 --> 00:13:12,180 Ik plaats daarvan raakte een toetsenbord snelkoppeling, waarvan het resultaat 225 00:13:12,180 --> 00:13:15,990 is deze software te activeren vraagt ​​me om mijn hoofdwachtwoord. 226 00:13:15,990 --> 00:13:18,780 Typ ik dan die ene grote wachtwoord in, en vervolgens de browser 227 00:13:18,780 --> 00:13:21,090 vult automatisch wat mijn wachtwoord is. 228 00:13:21,090 --> 00:13:24,960 Dus echt, als je niets anders te nemen weg van vandaag in termen van wachtwoorden, 229 00:13:24,960 --> 00:13:28,440 Dit zijn software die de moeite waard zijn het downloaden of het investeren in zo 230 00:13:28,440 --> 00:13:30,750 dat kun je op zijn minst break die bepaalde gewoonte. 231 00:13:30,750 --> 00:13:33,374 En als je het type dat is met behulp van Post-It Notes of de like-- 232 00:13:33,374 --> 00:13:37,310 en de kans is in ieder geval één van u is-- die gewoonte, ook, volstaat het om te zeggen, 233 00:13:37,310 --> 00:13:38,340 gebroken moet worden. 234 00:13:38,340 --> 00:13:42,360 >> Nu, ik toevallig ontdekt, als gevolg van het gebruik van de software, het volgende. 235 00:13:42,360 --> 00:13:45,690 Ik was het bestellen van een Eetbare Arrangement, deze fruitmand, onlangs. 236 00:13:45,690 --> 00:13:49,380 En ik raakte mijn speciale toetsenbord snelkoppeling in te loggen op de website. 237 00:13:49,380 --> 00:13:53,325 En de software veroorzaakt een pop-up die zegt, weet je zeker 238 00:13:53,325 --> 00:13:55,950 je wilt dat ik automatisch Deze gebruikersnaam en wachtwoord in te dienen? 239 00:13:55,950 --> 00:13:57,690 Omdat de verbinding is onzeker. 240 00:13:57,690 --> 00:14:01,450 >> De verbinding is niet via HTTPS, voor veilige, 241 00:14:01,450 --> 00:14:04,900 met behulp van dat protocol bekend als SSL, Secure Sockets Layer. 242 00:14:04,900 --> 00:14:07,640 En inderdaad, als je kijkt naar linksboven op deze website, 243 00:14:07,640 --> 00:14:12,880 het is gewoon www.ediblearrangements.com, geen HTTPS, dat is niet zo goed. 244 00:14:12,880 --> 00:14:15,480 >> Nu, ik was curious-- misschien is dit is gewoon een bug in de software. 245 00:14:15,480 --> 00:14:19,240 Zeker, sommige website zoals dit dat veel van ons kennen van 246 00:14:19,240 --> 00:14:24,046 wordt in ieder geval het gebruik van encryptie of HTTPS-URL's om u in te loggen. 247 00:14:24,046 --> 00:14:25,670 Dus ik heb een beetje nieuwsgierig vanmorgen. 248 00:14:25,670 --> 00:14:29,046 En ik stapte uit mijn CS50 vaardigheden, Ik opende Chrome Inspector. 249 00:14:29,046 --> 00:14:30,295 Het is zelfs niet veel van een vaardigheid. 250 00:14:30,295 --> 00:14:32,890 Het is gewoon op de juiste toetsenbord snelkoppeling naar deze open te stellen. 251 00:14:32,890 --> 00:14:34,830 En hier is een groot raam van Chrome Inspector. 252 00:14:34,830 --> 00:14:38,960 >> Maar wat was eigenlijk een beetje tragisch en belachelijk 253 00:14:38,960 --> 00:14:40,830 waren deze twee lijnen hier. 254 00:14:40,830 --> 00:14:44,570 Op naar de top, let op de URL te die mijn gebruikersnaam en wachtwoord 255 00:14:44,570 --> 00:14:45,530 werden ingediend. 256 00:14:45,530 --> 00:14:46,380 Laat me in te zoomen. 257 00:14:46,380 --> 00:14:47,352 Het was deze hier. 258 00:14:47,352 --> 00:14:49,060 En dat alles is soort oninteressant, 259 00:14:49,060 --> 00:14:54,962 behalve voor het ding helemaal aan Links, die begint met http: //. 260 00:14:54,962 --> 00:14:57,240 En zo dan, OK, misschien ze zijn gewoon verzenden 261 00:14:57,240 --> 00:14:59,084 mijn gebruikersnaam, dat is niet zo'n big deal. 262 00:14:59,084 --> 00:15:00,500 Misschien is mijn wachtwoord wordt later verzonden. 263 00:15:00,500 --> 00:15:02,300 Dat zou een soort van te zijn interessant ontwerp beslissing. 264 00:15:02,300 --> 00:15:03,100 >> Maar nope. 265 00:15:03,100 --> 00:15:06,130 Als je dan kijkt naar de aanvraag payload, de gebruikersnaam en het wachtwoord 266 00:15:06,130 --> 00:15:08,470 Ik sent-- en ik bespot deze voor de slide-- 267 00:15:08,470 --> 00:15:10,000 waren eigenlijk in het heldere gestuurd. 268 00:15:10,000 --> 00:15:13,792 Dus ga je naar deze bijzondere website en bestelt een Eetbare regeling als deze, 269 00:15:13,792 --> 00:15:16,750 en zelfs blijkbaar voor dit alles tijd heb ik het bestellen van hen, 270 00:15:16,750 --> 00:15:19,800 uw gebruikersnaam en wachtwoord wordt over te gaan in de heldere. 271 00:15:19,800 --> 00:15:22,120 Dus eerlijk gezegd, dit is volstrekt onaanvaardbaar. 272 00:15:22,120 --> 00:15:26,240 En het is zo triviaal om dingen te vermijden als dit als de ontwerper van een website 273 00:15:26,240 --> 00:15:27,950 en als de programmeur van een website. 274 00:15:27,950 --> 00:15:31,020 >> Maar het afhaalrestaurant hier voor ons als gebruikers van websites 275 00:15:31,020 --> 00:15:35,700 is alleen maar om dat allemaal te waarderen wat er nodig is voor een dom ontwerp 276 00:15:35,700 --> 00:15:40,010 beslissing, niet te rechtvaardigen ontwerpbeslissing, zodat nu, als je weet dat mijn wachtwoord is 277 00:15:40,010 --> 00:15:41,820 "Karmozijnrode" op deze website, hebt u waarschijnlijk 278 00:15:41,820 --> 00:15:44,654 net in een hele hoop andere websites die ik nu heb. 279 00:15:44,654 --> 00:15:46,570 En er is niet veel van een verdediging tegen dat 280 00:15:46,570 --> 00:15:48,301 anders dan wat Chang deed vanmorgen. 281 00:15:48,301 --> 00:15:51,550 Hij ging naar Edible Arrangements, die is gelegen in de straat in Cambridge, 282 00:15:51,550 --> 00:15:53,430 en dit fysiek gekocht voor ons. 283 00:15:53,430 --> 00:15:57,490 Dat was veel veiliger dan het gebruik van de website in dit geval. 284 00:15:57,490 --> 00:16:02,320 >> Maar het detail in de gaten te houden voor is eigenlijk wat er in de browser up top 285 00:16:02,320 --> 00:16:02,940 daar. 286 00:16:02,940 --> 00:16:04,690 Maar zelfs dat kan een beetje misleidend. 287 00:16:04,690 --> 00:16:07,002 Dus een ander interessant voorbeeld en de manier van verdedigen 288 00:16:07,002 --> 00:16:09,960 tegen dit-- en eigenlijk, laten we denk dat first-- de manier van verdedigen 289 00:16:09,960 --> 00:16:12,540 hiertegen is een techniek die zekerheid zouden de mensen 290 00:16:12,540 --> 00:16:14,810 noem twee-factor authenticatie. 291 00:16:14,810 --> 00:16:20,130 >> Weet iemand wat de oplossing om problemen als dit betekent? 292 00:16:20,130 --> 00:16:23,110 Wat is twee-factor authenticatie? 293 00:16:23,110 --> 00:16:27,320 Of anders gezegd, hoe velen van u het gebruikt? 294 00:16:27,320 --> 00:16:28,650 OK, dus een paar van verlegen mensen. 295 00:16:28,650 --> 00:16:29,060 Maar ja. 296 00:16:29,060 --> 00:16:29,976 Ik zag je hand omhoog gaan. 297 00:16:29,976 --> 00:16:31,510 Wat is twee-factor authenticatie? 298 00:16:31,510 --> 00:16:34,010 >> Publiek: In principe, in aanvulling te typen in uw wachtwoord, 299 00:16:34,010 --> 00:16:37,390 heb je ook een secundaire [onverstaanbaar] verstuurd via SMS-bericht naar uw telefoon 300 00:16:37,390 --> 00:16:39,460 op de [onverstaanbaar]. 301 00:16:39,460 --> 00:16:40,460 DAVID J. MALAN: Precies. 302 00:16:40,460 --> 00:16:44,150 Naast een aantal primaire vorm van authenticatie, zoals een wachtwoord, 303 00:16:44,150 --> 00:16:47,190 je gevraagd wordt voor een secundaire factor, die typisch 304 00:16:47,190 --> 00:16:49,740 iets wat je hebt fysiek op je, al is het 305 00:16:49,740 --> 00:16:51,610 kan iets heel anders zijn. 306 00:16:51,610 --> 00:16:54,630 En dat ding is typisch een cellphone deze dagen waarin je krijgt 307 00:16:54,630 --> 00:16:59,200 stuurde een tijdelijke tekst bericht dat zegt "Uw tijdelijke pas is 12345." 308 00:16:59,200 --> 00:17:01,280 >> Dus naast mijn password "karmozijnrode" Ik ook 309 00:17:01,280 --> 00:17:03,916 moeten typen in welke de website heeft me sms'te. 310 00:17:03,916 --> 00:17:06,290 Of indien u dit heeft met een bank of een beleggingsrekening, 311 00:17:06,290 --> 00:17:08,123 je hebt soms zijn deze weinig dongles die 312 00:17:08,123 --> 00:17:11,760 eigenlijk een pseudo-random number generator ingebouwd in hen, 313 00:17:11,760 --> 00:17:15,849 maar zowel het apparaat als de bank weten wat uw eerste zaad is 314 00:17:15,849 --> 00:17:19,710 zodat zij weten, zelfs als de weinig code op je kleine sleutelhanger 315 00:17:19,710 --> 00:17:22,380 marcheert vooruit elke minuut of twee, veranderende waarden, 316 00:17:22,380 --> 00:17:25,260 zo werkt dat waardeverandering op de server van de bank 317 00:17:25,260 --> 00:17:28,620 zodat zij eveneens kunnen authenticeren u niet alleen met uw wachtwoord, 318 00:17:28,620 --> 00:17:30,024 maar met die tijdelijke code. 319 00:17:30,024 --> 00:17:31,690 Nu, kun je eigenlijk doen in Google. 320 00:17:31,690 --> 00:17:33,606 En eerlijk gezegd, dit is een goede gewoonte om in, 321 00:17:33,606 --> 00:17:36,180 vooral als je gebruik Gmail hele tijd op een browser. 322 00:17:36,180 --> 00:17:39,880 Als je naar deze URL hier, dat is in de dia's online voor vandaag, en dan 323 00:17:39,880 --> 00:17:43,579 Klik op 2-Step Verification, Hetzelfde werkelijke ding daar. 324 00:17:43,579 --> 00:17:45,870 U wordt gevraagd om te geven ze uw mobiele telefoonnummer. 325 00:17:45,870 --> 00:17:49,660 En dan, elke keer dat je inlogt op Gmail, wordt u niet alleen gevraagd 326 00:17:49,660 --> 00:17:53,480 voor uw wachtwoord, maar ook voor een kleine code die wordt verstuurd naar uw telefoon 327 00:17:53,480 --> 00:17:54,190 tijdelijk. 328 00:17:54,190 --> 00:17:57,894 En zolang je hebt cookies ingeschakeld, en zolang je niet expliciet doen 329 00:17:57,894 --> 00:18:00,060 uitlogt, zal je alleen om dat te doen af ​​en toe, 330 00:18:00,060 --> 00:18:01,870 zoals wanneer je gaat zitten op een nieuwe computer. 331 00:18:01,870 --> 00:18:05,320 >> En de kop ook hier is, als je gaat zitten aan een aantal internet cafe stijl 332 00:18:05,320 --> 00:18:07,380 computer of gewoon een vriend de computer, zelfs 333 00:18:07,380 --> 00:18:09,710 indien die vriend kwaadwillig of onbewust 334 00:18:09,710 --> 00:18:13,580 heeft een aantal keyboard logger op zijn of haar computer is geïnstalleerd, 335 00:18:13,580 --> 00:18:15,640 zodanig dat je alles soort wordt ingelogd, 336 00:18:15,640 --> 00:18:19,170 althans dat tweede factor, die tijdelijke code, is vergankelijk. 337 00:18:19,170 --> 00:18:21,630 Zodat hij of zij of wie dan ook is gecompromitteerd de computer 338 00:18:21,630 --> 00:18:24,890 kan niet inloggen op je later, zelfs als al het andere 339 00:18:24,890 --> 00:18:27,890 kwetsbaar was of zelfs ongecodeerde geheel. 340 00:18:27,890 --> 00:18:29,760 Facebook heeft dit, ook, met die URL hier, 341 00:18:29,760 --> 00:18:32,070 waar u kunt klikken op Inloggen goedkeuringen. 342 00:18:32,070 --> 00:18:35,500 Dus ook hier, als je dat niet wil vrienden om mensen te porren, 343 00:18:35,500 --> 00:18:40,140 u niet wilt worden porren op Facebook of het plaatsen van status updates voor u, 344 00:18:40,140 --> 00:18:42,479 twee-factor authenticatie hier is waarschijnlijk een goede zaak. 345 00:18:42,479 --> 00:18:44,520 En dan is er dit andere techniek helemaal, 346 00:18:44,520 --> 00:18:46,853 gewoon auditing, dat is zelfs een goede zaak voor ons mensen, 347 00:18:46,853 --> 00:18:49,950 Als twee-factor blijkt vervelend, die Toegegeven, het kan, of het is gewoon niet 348 00:18:49,950 --> 00:18:53,930 beschikbaar op sommige website, minimaal in de gaten houden of en wanneer 349 00:18:53,930 --> 00:18:57,650 je inloggen op sites, als zij u toe te staan, is een goede techniek, ook. 350 00:18:57,650 --> 00:19:01,300 Dus Facebook dit geeft je ook login kennisgevingen voorzien, waarbij 351 00:19:01,300 --> 00:19:06,240 wanneer Facebook realiseert, hm, David heeft ingelogd van enkele computer of telefoon 352 00:19:06,240 --> 00:19:09,710 die we nooit eerder van hebt gezien een IP-adres dat niet vertrouwd uitziet, 353 00:19:09,710 --> 00:19:12,320 ze zullen je in ieder geval een stuur e-mail naar welk e-mailadres 354 00:19:12,320 --> 00:19:14,750 die opgeslagen hebt, zeggende: Ziet dit er verdacht? 355 00:19:14,750 --> 00:19:17,590 Als dat zo is, verander je wachtwoord onmiddellijk. 356 00:19:17,590 --> 00:19:19,610 En dus is er ook, gewoon gedrag auditing 357 00:19:19,610 --> 00:19:21,940 zelfs nadat je bent geweest gecompromitteerd, kunnen een 358 00:19:21,940 --> 00:19:25,980 het venster te verkleinen tijdens die je kwetsbaar bent. 359 00:19:25,980 --> 00:19:29,910 >> Oké, vragen op dat spul tot nu toe? 360 00:19:29,910 --> 00:19:35,510 Vandaag is de dag om alles van te krijgen uw paranoia bevestigd of ontkend. 361 00:19:35,510 --> 00:19:36,820 Dat is meestal bevestigd, helaas. 362 00:19:36,820 --> 00:19:37,210 Yeah? 363 00:19:37,210 --> 00:19:39,223 >> Publiek: [onverstaanbaar] telefoon, wat als uw telefoon breekt, 364 00:19:39,223 --> 00:19:41,010 en dan is het altijd moeilijk te verify-- 365 00:19:41,010 --> 00:19:41,295 >> DAVID J. MALAN: True. 366 00:19:41,295 --> 00:19:43,330 >> Publiek: Of als je in een ander land, en ze je niet laten 367 00:19:43,330 --> 00:19:44,505 aanmelden omdat [onverstaanbaar]. 368 00:19:44,505 --> 00:19:45,630 DAVID J. MALAN: Absoluut. 369 00:19:45,630 --> 00:19:48,780 En dus dit zijn de aanvullende kosten die u maakt. 370 00:19:48,780 --> 00:19:51,040 Er is altijd dit thema van een trade-off, na alles. 371 00:19:51,040 --> 00:19:53,748 En dan, als u uw telefoon verliest, als het breekt, als je in het buitenland bent, 372 00:19:53,748 --> 00:19:56,382 of je gewoon niet een hebben signaal, zoals een 3G of LTE-signaal, 373 00:19:56,382 --> 00:19:58,340 je misschien niet echt te kunnen verifiëren. 374 00:19:58,340 --> 00:20:00,520 >> Dus nogmaals, deze twee zijn trade-offs. 375 00:20:00,520 --> 00:20:03,670 Soms kan een aanmaken veel werk voor u als gevolg. 376 00:20:03,670 --> 00:20:08,130 Maar het hangt een beetje af, daarna, op wat de verwachte prijs voor u 377 00:20:08,130 --> 00:20:10,980 is van iets wezen helemaal gecompromitteerd. 378 00:20:10,980 --> 00:20:15,300 >> Dus SSL is dus deze techniek dat we allemaal over het algemeen als vanzelfsprekend 379 00:20:15,300 --> 00:20:18,970 of aannemen is er, ook al is Dat is duidelijk niet het geval. 380 00:20:18,970 --> 00:20:23,339 En je kunt nog steeds misleiden mensen, echter, zelfs met deze. 381 00:20:23,339 --> 00:20:24,630 Dus hier is een voorbeeld van een bank. 382 00:20:24,630 --> 00:20:25,860 >> Dit is Bank of America. 383 00:20:25,860 --> 00:20:28,730 Er is een hele hoop van deze in Harvard Square en daarbuiten. 384 00:20:28,730 --> 00:20:32,530 En merk op dat, op de top van het scherm, is er een, inderdaad, HTTPS. 385 00:20:32,530 --> 00:20:35,370 En het is nog groen en gemarkeerd voor ons 386 00:20:35,370 --> 00:20:39,550 aan te geven dat dit inderdaad een rechtmatig beveiligde website, 387 00:20:39,550 --> 00:20:41,420 of zo hebben we getraind om te geloven. 388 00:20:41,420 --> 00:20:46,416 >> Nu, naast dat, hoewel, merken dat, als we in te zoomen, 389 00:20:46,416 --> 00:20:48,790 er is dit ding hier, waar je wordt gevraagd om in te loggen. 390 00:20:48,790 --> 00:20:54,920 Wat betekent dit hangslot betekenen recht er, naast mijn gebruikersnaam gevraagd? 391 00:20:54,920 --> 00:20:57,890 Dit is vrij normaal op websites, ook. 392 00:20:57,890 --> 00:21:01,120 Wat betekent dit hangslot betekenen? 393 00:21:01,120 --> 00:21:02,453 Je lijkt me je weet. 394 00:21:02,453 --> 00:21:03,420 >> Publiek: Het heeft niets te betekenen. 395 00:21:03,420 --> 00:21:04,230 >> DAVID J. MALAN: Het betekent niets. 396 00:21:04,230 --> 00:21:07,790 Het betekent dat Bank of America weet naar HTML met image-tags, toch schrijven? 397 00:21:07,790 --> 00:21:12,080 Het betekent echt niets, want zelfs we, met de eerste dag van onze blik 398 00:21:12,080 --> 00:21:15,760 in HTML, kunt coderen van een pagina met een rode achtergrond en een afbeelding, 399 00:21:15,760 --> 00:21:18,910 zoals een GIF of wat, dat gebeurt om te kijken als een hangslot. 400 00:21:18,910 --> 00:21:20,890 Toch is dit super gebruikelijk in websites, 401 00:21:20,890 --> 00:21:24,000 want we zijn getraind om te veronderstellen dat, oh, hangslot betekent veilige, 402 00:21:24,000 --> 00:21:25,760 als het echt alleen maar betekent dat je kennis hebt van HTML. 403 00:21:25,760 --> 00:21:28,840 >> Zo, terug in de dag, ik kon heb net dit op mijn website, 404 00:21:28,840 --> 00:21:31,660 beweren dat het veilig is, en vragen, effectief, 405 00:21:31,660 --> 00:21:33,590 voor gebruikersnamen en wachtwoorden van mensen. 406 00:21:33,590 --> 00:21:36,310 Dus zoek in de URL is tenminste een betere aanwijzing, 407 00:21:36,310 --> 00:21:39,580 want die is ingebouwd in Chrome of welke browser u gebruikt. 408 00:21:39,580 --> 00:21:41,470 Maar zelfs dan, soms dingen fout kunnen gaan. 409 00:21:41,470 --> 00:21:45,940 En in feite zou je niet altijd zie HTTPS, laat staan ​​in het groen. 410 00:21:45,940 --> 00:21:48,126 >> Heeft iemand van jullie ooit een scherm als dit gezien? 411 00:21:48,126 --> 00:21:50,000 Je zou kunnen hebben, eigenlijk, eerder in oktober 412 00:21:50,000 --> 00:21:54,740 toen ik vergat te betalen voor onze SSL-certificaat, zoals dat heet, 413 00:21:54,740 --> 00:21:58,400 en we waren op zoek als dit voor een uur of twee. 414 00:21:58,400 --> 00:22:01,830 Dus je hebt waarschijnlijk gezien de dingen als dit, met een strike-through, 415 00:22:01,830 --> 00:22:05,240 als een rode lijn door het protocol in de URL 416 00:22:05,240 --> 00:22:08,010 of een soort scherm dat is tenminste vermanende u 417 00:22:08,010 --> 00:22:09,760 voor het proberen om verder te gaan. 418 00:22:09,760 --> 00:22:12,540 En Google hier is uitnodigend u om terug te gaan naar veiligheid. 419 00:22:12,540 --> 00:22:17,120 >> Nu, in dit geval, dit betekende dat het SSL-certificaat dat we gebruikten, 420 00:22:17,120 --> 00:22:22,220 de grote, mathematisch nuttige nummers die zijn geassocieerd met de server CS50's, 421 00:22:22,220 --> 00:22:23,949 waren niet langer geldig. 422 00:22:23,949 --> 00:22:26,490 En in feite, kunnen we simuleren dit, als je kan op je laptop. 423 00:22:26,490 --> 00:22:30,270 Als ik in Chrome hier, en laten we naar facebook.com, 424 00:22:30,270 --> 00:22:32,230 en het lijkt erop dat dit veilig is. 425 00:22:32,230 --> 00:22:36,910 Maar laat me gaan nu vooruit en Klik op het hangslot hier. 426 00:22:36,910 --> 00:22:40,030 >> En laat me gaan naar Connection, Certificate Information. 427 00:22:40,030 --> 00:22:42,020 En inderdaad, wat je zult zie hier een stelletje 428 00:22:42,020 --> 00:22:46,160 van gegevens op een lager niveau over die facebook.com werkelijk is. 429 00:22:46,160 --> 00:22:49,380 Het lijkt erop dat ze geld hebben betaald aan een bedrijf met de naam misschien DigiCert High 430 00:22:49,380 --> 00:22:54,420 Zekerheid dat heeft beloofd naar de rest van de wereld te vertellen 431 00:22:54,420 --> 00:22:57,250 dat indien een browser ooit ziet een certificate-- je kunt bedenken 432 00:22:57,250 --> 00:23:00,291 van het letterlijk als een certificaat dat lijkt op dat cheesy ding bovenaan 433 00:23:00,291 --> 00:23:04,360 left-- dan facebook.com is wie ze zeggen ze zijn, omdat al die tijd bij 434 00:23:04,360 --> 00:23:07,160 u een website bezoekt, zoals cs50.harvard.edu of facebook.com 435 00:23:07,160 --> 00:23:11,880 of gmail.com dat HTTPS URL's, achter de schermen, 436 00:23:11,880 --> 00:23:15,190 er is dit soort transactie automatisch gebeurt 437 00:23:15,190 --> 00:23:18,060 voor u, waarbij facebook.com, in dit geval, 438 00:23:18,060 --> 00:23:22,150 is het verzenden naar uw browser zijn zogenaamde SSL certificaat, of liever, 439 00:23:22,150 --> 00:23:23,380 zijn publieke sleutel, 440 00:23:23,380 --> 00:23:25,600 en dan je browser gebruikt dat de publieke sleutel 441 00:23:25,600 --> 00:23:29,600 om vervolgens te versturen versleutelde verkeer van en naar het. 442 00:23:29,600 --> 00:23:32,360 >> Maar er is deze hele hiërarchie in de wereld van bedrijven 443 00:23:32,360 --> 00:23:36,430 dat je geld te betalen aan wie dan wel dan getuigen, in een digitale zin, 444 00:23:36,430 --> 00:23:41,330 dat je inderdaad facebook.com of uw server is inderdaad cs50.harvard.edu. 445 00:23:41,330 --> 00:23:44,580 En in browsers, zoals Chrome en IE en Firefox, 446 00:23:44,580 --> 00:23:48,260 is een lijst van al die zogenaamde certificate authorities 447 00:23:48,260 --> 00:23:51,360 die zijn toegestaan ​​door Microsoft en Google en Mozilla 448 00:23:51,360 --> 00:23:55,410 om te bevestigen of te ontkennen dat facebook.com is wie hij zegt te zijn. 449 00:23:55,410 --> 00:23:57,430 Maar de vangst is dat deze dingen doen vervallen. 450 00:23:57,430 --> 00:24:02,670 In feite, Facebook's ziet eruit als het verloopt in oktober aanstaande, in 2015. 451 00:24:02,670 --> 00:24:06,490 >> Dus we kunnen eigenlijk dit simuleren als ik ga in mijn Mac naar mijn Systeemvoorkeuren, 452 00:24:06,490 --> 00:24:11,070 en ik ga in Datum en tijd, en Ik ga in Datum en tijd hier, 453 00:24:11,070 --> 00:24:17,190 en ontgrendel ik dit hier-- gelukkig, we hebben niet een password dit tijd-- onthullen 454 00:24:17,190 --> 00:24:20,660 en nu ga ik naar beneden om deze uitvinken. 455 00:24:20,660 --> 00:24:25,660 En laten we actually-- oops, dat is niet zo interessant als je dit doet. 456 00:24:25,660 --> 00:24:30,140 We zijn letterlijk in de toekomst nu, waardoor dit is wat 2020 is als. 457 00:24:30,140 --> 00:24:36,360 Als ik herladen nu de page-- let's do it in Ingognito mode-- 458 00:24:36,360 --> 00:24:40,910 als ik de pagina geladen is, daar gaan we. 459 00:24:40,910 --> 00:24:45,820 >> Dus nu, mijn computer denkt het is 2020, maar mijn browser 460 00:24:45,820 --> 00:24:49,810 weet dat dit certificaat uit Facebook verloopt, natuurlijk, in 2015. 461 00:24:49,810 --> 00:24:51,360 Dus het geeft me deze rode boodschap. 462 00:24:51,360 --> 00:24:53,550 Nu, gelukkig, browsers zoals Chrome heb eigenlijk 463 00:24:53,550 --> 00:24:55,480 maakte het vrij moeilijk om ga toch. 464 00:24:55,480 --> 00:24:57,300 Ze willen dat ik inderdaad om terug te gaan naar veiligheid. 465 00:24:57,300 --> 00:25:00,550 >> Als ik klik hier op de Advance, het is Ga je me vertellen wat meer details. 466 00:25:00,550 --> 00:25:02,580 En als ik echt wil om verder te gaan, zullen ze laten 467 00:25:02,580 --> 00:25:06,250 ik ga naar facebook.com, dat is, nogmaals, onveilig, op welk punt 468 00:25:06,250 --> 00:25:08,310 Ik zal Facebook de homepage te zien, zoals deze. 469 00:25:08,310 --> 00:25:10,080 Maar dan andere dingen lijken breken te zijn. 470 00:25:10,080 --> 00:25:12,825 Wat is waarschijnlijk breken op dit punt? 471 00:25:12,825 --> 00:25:13,700 Publiek: JavaScript. 472 00:25:13,700 --> 00:25:15,540 DAVID J. MALAN: Net als de JavaScripts en / of CSS 473 00:25:15,540 --> 00:25:17,460 bestanden eveneens tegenkomen die fout. 474 00:25:17,460 --> 00:25:19,830 Dus dit is gewoon een slechte situatie in het algemeen. 475 00:25:19,830 --> 00:25:24,790 Maar het punt hier is dat op zijn minst Facebook heeft inderdaad SSL ingeschakeld 476 00:25:24,790 --> 00:25:30,040 voor hun servers, zoals vele websites, , maar niet noodzakelijkerwijs alle. 477 00:25:30,040 --> 00:25:33,360 >> Maar dat is niet alleen het afhaalrestaurant hier. 478 00:25:33,360 --> 00:25:36,040 Blijkt dat zelfs SSL is aangetoond 479 00:25:36,040 --> 00:25:37,810 te zijn onzeker in een bepaalde manier. 480 00:25:37,810 --> 00:25:40,400 Dus ik ben het soort doorschemeren dat SSL, goed. 481 00:25:40,400 --> 00:25:44,250 Kijk voor HTTPS-URL's, en het leven is goed, omdat al uw HTTP-verkeer 482 00:25:44,250 --> 00:25:46,180 en headers en inhoud wordt gecodeerd. 483 00:25:46,180 --> 00:25:49,560 >> Niemand kan het onderscheppen in de midden, op een zogenaamde man 484 00:25:49,560 --> 00:25:50,454 in het midden. 485 00:25:50,454 --> 00:25:52,870 Dit is een algemene techniek in de wereld van zekerheid bekend 486 00:25:52,870 --> 00:25:54,420 als een man-in-the-middle-aanval. 487 00:25:54,420 --> 00:25:57,067 Stel dat u dit kleine bent laptop over hier aan de linkerkant, 488 00:25:57,067 --> 00:25:59,900 en stel dat je probeert te bezoeken een server daar aan de rechterzijde, 489 00:25:59,900 --> 00:26:00,990 zoals facebook.com. 490 00:26:00,990 --> 00:26:03,940 >> Maar stel dat, in tussen u en Facebook, 491 00:26:03,940 --> 00:26:07,750 is een hele hoop andere servers en apparatuur, zoals switches en routers, 492 00:26:07,750 --> 00:26:11,530 DNS-servers, DHCP-servers, geen van we controleren. 493 00:26:11,530 --> 00:26:15,280 Het kan worden gecontroleerd door Starbucks of Harvard of Comcast of iets dergelijks. 494 00:26:15,280 --> 00:26:18,090 Nou, stel dat iemand kwaadwillig, op uw netwerk, 495 00:26:18,090 --> 00:26:20,800 in tussen u en Facebook, is in staat om u te vertellen 496 00:26:20,800 --> 00:26:24,740 dat, weet je wat, het IP-adres van Facebook is niet wat je denkt dat het is. 497 00:26:24,740 --> 00:26:26,250 Het is dit IP plaats. 498 00:26:26,250 --> 00:26:28,740 >> En zo uw browser is misleid in het aanvragen van 499 00:26:28,740 --> 00:26:30,750 verkeer van andere computer helemaal. 500 00:26:30,750 --> 00:26:35,350 Nou, stel dat de computer gewoon kijkt naar alle 501 00:26:35,350 --> 00:26:38,859 van het verkeer dat u aanvraagt ​​uit Facebook en alle webpagina's 502 00:26:38,859 --> 00:26:40,400 dat je het aanvragen van Facebook. 503 00:26:40,400 --> 00:26:45,700 En elke keer dat hij ziet in uw verkeer een URL die begint met https, 504 00:26:45,700 --> 00:26:49,250 het dynamisch op vliegen, herschrijft het als HTTP. 505 00:26:49,250 --> 00:26:53,490 En elke keer dat hij ziet een locatie header, locatie colon, 506 00:26:53,490 --> 00:26:55,930 zoals we gebruiken om te buigen de gebruiker, die ook, 507 00:26:55,930 --> 00:27:00,690 kan door deze man worden veranderd in het midden van HTTPS naar HTTP. 508 00:27:00,690 --> 00:27:04,170 >> Dus ook al heb je misschien zelf Denk je dat je naar de echte Facebook, 509 00:27:04,170 --> 00:27:07,860 het is niet zo moeilijk voor een tegenstander met fysieke toegang 510 00:27:07,860 --> 00:27:10,630 op uw netwerk om gewoon pagina terug te gaan naar je dat 511 00:27:10,630 --> 00:27:12,650 kijken als Gmail, dat kijken als Facebook, 512 00:27:12,650 --> 00:27:14,880 en inderdaad de URL identiek zijn, omdat ze 513 00:27:14,880 --> 00:27:19,410 doen alsof dat hetzelfde hostnaam hebben vanwege een exploitatie van DNS 514 00:27:19,410 --> 00:27:21,340 of een ander systeem als dat. 515 00:27:21,340 --> 00:27:23,894 En het resultaat is dus dat wij mensen misschien maar 516 00:27:23,894 --> 00:27:26,810 beseffen dat, OK, dit ziet eruit als Gmail of in ieder geval de oudere versie, 517 00:27:26,810 --> 00:27:29,480 zo is deze dia uit een ouder presentatie. 518 00:27:29,480 --> 00:27:34,250 Maar het lijkt erop dit-- http://www.google.com. 519 00:27:34,250 --> 00:27:37,370 >> Dus ook hier de realiteit is dat de manier waarop velen van jullie, 520 00:27:37,370 --> 00:27:41,290 als je naar Facebook of Gmail of een website en je weet een beetje iets 521 00:27:41,290 --> 00:27:47,060 over SSL, hoeveel van jullie fysiek https: // typen en vervolgens op de website 522 00:27:47,060 --> 00:27:48,990 te noemen, Enter. 523 00:27:48,990 --> 00:27:52,940 De meesten van ons alleen maar te typen, zoals, CS50, druk op Enter, of F-A voor Facebook 524 00:27:52,940 --> 00:27:54,770 en druk op Enter, en laat het automatisch aanvullen. 525 00:27:54,770 --> 00:27:57,620 Maar achter de schermen, als je let op uw HTTP-verkeer, 526 00:27:57,620 --> 00:28:00,090 er is waarschijnlijk een hele hoop van die locatie headers 527 00:28:00,090 --> 00:28:03,580 die u verzendt vanaf Facebook naar www.facebook.com 528 00:28:03,580 --> 00:28:07,250 naar https://www.facebook.com. 529 00:28:07,250 --> 00:28:12,300 >> Dus dat is een of meer HTTP transacties waar uw informatie is volledig 530 00:28:12,300 --> 00:28:15,102 gestuurd in het duidelijk, geen encryptie dan ook. 531 00:28:15,102 --> 00:28:17,810 Nu, dat is misschien niet zo'n groot zijn gaan als alles wat je probeert te doen 532 00:28:17,810 --> 00:28:20,980 wordt toegang tot de homepage, je bent niet het verzenden van uw gebruikersnaam en wachtwoord. 533 00:28:20,980 --> 00:28:23,130 Maar wat is het eronder de kap, met name 534 00:28:23,130 --> 00:28:28,130 voor PHP gebaseerde websites dat is ook heen en weer wanneer verzonden 535 00:28:28,130 --> 00:28:33,820 u sommige webpagina als bezoeken die website toepassingen, zeg, PHP 536 00:28:33,820 --> 00:28:37,370 en implementeert functionaliteit zoals pset7? 537 00:28:37,370 --> 00:28:40,840 Wat er werd heen en weer gestuurd in uw HTTP-headers die je gaf 538 00:28:40,840 --> 00:28:44,903 toegang tot deze mooie nuttig super global in PHP? 539 00:28:44,903 --> 00:28:45,710 >> Publiek: Cookies. 540 00:28:45,710 --> 00:28:49,020 >> DAVID J. MALAN: Koekjes, specifiek de PHP sess ID cookie. 541 00:28:49,020 --> 00:28:53,100 Dus herinneren, als we naar, zeg, cs50.harvard.edu weer, 542 00:28:53,100 --> 00:28:56,440 maar deze keer, laten we het openstellen van de Tabblad Netwerk, en nu, hier, 543 00:28:56,440 --> 00:29:01,570 laten we letterlijk gewoon gaan naar http://cs50.harvard.edu 544 00:29:01,570 --> 00:29:03,030 en vervolgens drukt u op Enter. 545 00:29:03,030 --> 00:29:05,520 En kijk dan naar het scherm hier beneden. 546 00:29:05,520 --> 00:29:09,600 Merk op dat we inderdaad gekregen terug een 301 permanent verplaatst 547 00:29:09,600 --> 00:29:12,820 bericht, waardoor er is een locatie header hier, 548 00:29:12,820 --> 00:29:15,610 die nu wordt omgeleid me naar HTTPS. 549 00:29:15,610 --> 00:29:21,330 >> Maar de vangst is dat, als ik al had een cookie gestempeld op mijn hand praktisch, 550 00:29:21,330 --> 00:29:25,890 zoals we eerder hebben besproken, en Ik de menselijke soort onbewust 551 00:29:25,890 --> 00:29:29,090 ga je naar het onzeker versie, en mijn browser neemt het 552 00:29:29,090 --> 00:29:34,020 op zich om die hand stempel voor tonen het eerste verzoek die via HTTP, 553 00:29:34,020 --> 00:29:36,610 elke man in het midden, welke tegenstander in het midden, 554 00:29:36,610 --> 00:29:39,380 kan in theorie gewoon zien die HTTP headers, net 555 00:29:39,380 --> 00:29:40,980 als we kijken naar hen hier. 556 00:29:40,980 --> 00:29:43,310 Het is pas als je bent in gesprek met een HTTPS 557 00:29:43,310 --> 00:29:47,780 URL hoeft die hand stempel zelf krijgen gecodeerd, a la Caesar of Vigenere, 558 00:29:47,780 --> 00:29:50,500 maar met een liefhebber algoritme helemaal. 559 00:29:50,500 --> 00:29:53,611 Dus ook hier ook als websites maken gebruik van HTTPS, 560 00:29:53,611 --> 00:29:56,860 wij mensen zijn geconditioneerd, thanks om auto-complete en andere technieken, 561 00:29:56,860 --> 00:29:59,827 om niet aan denken de mogelijke gevolgen. 562 00:29:59,827 --> 00:30:01,160 Nu zijn er manieren om dit. 563 00:30:01,160 --> 00:30:03,140 Bijvoorbeeld, veel websites kunnen worden geconfigureerd 564 00:30:03,140 --> 00:30:05,848 zo dat, als je eenmaal hebt deze hand zegel, kunt u de browser te vertellen, 565 00:30:05,848 --> 00:30:07,750 deze hand postzegel is alleen voor SSL-verbindingen. 566 00:30:07,750 --> 00:30:11,702 De browser moet niet presenteren het aan mij, tenzij het is over SSL. 567 00:30:11,702 --> 00:30:13,410 Maar veel websites doe geen moeite met dat. 568 00:30:13,410 --> 00:30:17,260 En vele websites blijkbaar niet eens de moeite met SSL helemaal. 569 00:30:17,260 --> 00:30:20,540 >> Dus voor meer op dat, is er eigenlijk nog meer vuil in deze presentatie 570 00:30:20,540 --> 00:30:24,010 dat een collega gaf op een zogenaamde zwarte Hat-conferentie een paar jaar geleden, 571 00:30:24,010 --> 00:30:26,468 waar er nog andere trucs mensen kwaadaardige hebben gebruikt. 572 00:30:26,468 --> 00:30:28,630 Je zou dit herinneren notie van een favicon, en dat 573 00:30:28,630 --> 00:30:32,270 is als een kleine logo dat is vaak in het venster van de browser. 574 00:30:32,270 --> 00:30:34,610 Nou, wat is geweest voorkomende onder slechteriken is 575 00:30:34,610 --> 00:30:36,340 naar fab pictogrammen die eruit zien als wat te maken? 576 00:30:36,340 --> 00:30:39,054 577 00:30:39,054 --> 00:30:39,970 Publiek: [onverstaanbaar]. 578 00:30:39,970 --> 00:30:40,280 DAVID J. MALAN: weer zeggen? 579 00:30:40,280 --> 00:30:41,490 Publiek: De websites. 580 00:30:41,490 --> 00:30:42,130 DAVID J. MALAN: geen website. 581 00:30:42,130 --> 00:30:43,394 Dus favicon, piepkleine pictogram. 582 00:30:43,394 --> 00:30:45,560 Wat zou het meest worden kwaadaardige, manipulatief ding 583 00:30:45,560 --> 00:30:47,832 U kan uw website maken default icon eruit? 584 00:30:47,832 --> 00:30:48,790 Publiek: Een groene sluis. 585 00:30:48,790 --> 00:30:49,080 DAVID J. MALAN: Wat is dat? 586 00:30:49,080 --> 00:30:50,160 Publiek: Een kleine groene sluis. 587 00:30:50,160 --> 00:30:51,960 DAVID J. MALAN: Like een groene sluis, precies. 588 00:30:51,960 --> 00:30:55,242 Dus u kunt deze esthetische hebben van een kleine groene hangslot, 589 00:30:55,242 --> 00:30:57,950 zinspelend op de wereld, oh, we zijn veilig, wanneer weer, het betekent 590 00:30:57,950 --> 00:31:00,210 is dat je weet wat HTML. 591 00:31:00,210 --> 00:31:02,895 Dus het kapen van sessies verwijst naar precies dat. 592 00:31:02,895 --> 00:31:05,936 Als je iemand hebt die is een soort van snuiven de ether in deze kamer hier 593 00:31:05,936 --> 00:31:09,150 of heeft fysieke toegang tot een netwerk en kan uw cookies te zien, 594 00:31:09,150 --> 00:31:12,152 hij of zij kan pakken dat PHP sess ID cookie. 595 00:31:12,152 --> 00:31:13,860 En dan, als ze savvy genoeg om te weten 596 00:31:13,860 --> 00:31:18,200 hoe je die cookie sturen als hun eigen handstempel gewoon door het kopiëren van die waarde 597 00:31:18,200 --> 00:31:20,860 en verzenden van de HTTP headers, iemand kan heel gemakkelijk 598 00:31:20,860 --> 00:31:23,510 inloggen op een van de Facebook rekeningen of Gmail-accounts 599 00:31:23,510 --> 00:31:27,355 of Twitter accounts die hier zijn, geopend in de kamer, als je niet via SSL 600 00:31:27,355 --> 00:31:31,500 en als de website is SSL niet correct gebruikt. 601 00:31:31,500 --> 00:31:33,690 >> Dus laten we de overgang naar een andere. 602 00:31:33,690 --> 00:31:34,700 Dus nog een waar gebeurd verhaal. 603 00:31:34,700 --> 00:31:38,680 En dit enkel brak in de nieuws een week of twee geleden. 604 00:31:38,680 --> 00:31:41,520 Verizon heeft gedaan een zeer slechte zaak, 605 00:31:41,520 --> 00:31:45,110 en als beste mensen kan vertellen, ten minste sinds 2012, waarbij, 606 00:31:45,110 --> 00:31:51,550 wanneer u toegang tot websites via een Verizon mobiele telefoon, ongeacht fabrikant het is, 607 00:31:51,550 --> 00:31:54,150 zij hebben in overmoed geweest, zo gaat het verhaal, 608 00:31:54,150 --> 00:31:59,890 injecteren in al uw HTTP verkeer hun eigen HTTP-header. 609 00:31:59,890 --> 00:32:04,040 En dat header looks zoals dit-- X-UIDH. 610 00:32:04,040 --> 00:32:06,465 UID is als een uniek identifier of gebruikers-ID. 611 00:32:06,465 --> 00:32:09,660 En X betekent gewoon dat dit een gewoonte header dat is niet standaard. 612 00:32:09,660 --> 00:32:11,720 >> Maar wat dit betekent is dat, als ik trek, 613 00:32:11,720 --> 00:32:14,640 bijvoorbeeld, een website op mijn telefoon hier-- 614 00:32:14,640 --> 00:32:18,310 en ik ben met behulp van Verizon als mijn carrier-- hoewel mijn browser zou niet 615 00:32:18,310 --> 00:32:21,110 sturen deze HTTP header, Verizon, zodra 616 00:32:21,110 --> 00:32:23,650 het signaal bereikt de cellphone toren ergens, 617 00:32:23,650 --> 00:32:28,187 is al enige tijd het injecteren van deze header in al onze HTTP-verkeer. 618 00:32:28,187 --> 00:32:29,020 Waarom doen ze dit? 619 00:32:29,020 --> 00:32:31,920 Vermoedelijk voor het volgen redenen voor reclame redenen. 620 00:32:31,920 --> 00:32:36,280 >> Maar de debiele ontwerpbeslissing hier is dat een HTTP-header, 621 00:32:36,280 --> 00:32:41,090 zoals jullie weten uit pset6, wordt door een web server ontvangen 622 00:32:41,090 --> 00:32:42,540 dat je het aanvragen van het verkeer van. 623 00:32:42,540 --> 00:32:44,248 Dus al die tijd, indien je hebt al een bezoek 624 00:32:44,248 --> 00:32:48,019 Facebook of Gmail of een website dat maakt geen gebruik van SSL alle tijd-- 625 00:32:48,019 --> 00:32:49,810 en eigenlijk, die twee gelukkig nu doen-- 626 00:32:49,810 --> 00:32:52,670 maar andere websites die geen gebruik maken van SSL de hele tijd, 627 00:32:52,670 --> 00:32:54,930 Verizon heeft in wezen het planten, met geweld, 628 00:32:54,930 --> 00:32:58,180 een hand stempel op al onze handen dat zelfs wij niet zien, 629 00:32:58,180 --> 00:33:00,330 maar eerder, de websites einde doen. 630 00:33:00,330 --> 00:33:02,890 En dus is het niet zo geweest moeilijk voor iedereen op het internet 631 00:33:02,890 --> 00:33:05,245 het runnen van een webserver realiseren, ooh, dit is David, 632 00:33:05,245 --> 00:33:09,340 of, ooh, dit is Davin, zelfs als we rigoureuze over clearing onze cookies, 633 00:33:09,340 --> 00:33:10,772 want het komt niet van ons. 634 00:33:10,772 --> 00:33:11,980 Het komt van de vervoerder. 635 00:33:11,980 --> 00:33:14,896 >> Ze doen een lookup op uw telefoonnummer en dan zeggen, oh, dit is David. 636 00:33:14,896 --> 00:33:18,890 Laat me injecteren van een unieke identifier, zodat dat onze adverteerders of wie dan ook kan 637 00:33:18,890 --> 00:33:19,850 bijhouden van deze. 638 00:33:19,850 --> 00:33:23,769 Dus dit is eigenlijk heel, zeer, zeer slecht en afschuwelijk. 639 00:33:23,769 --> 00:33:26,060 En ik wil u aanmoedigen om een kijkje nemen, bijvoorbeeld, 640 00:33:26,060 --> 00:33:29,950 op deze URL, die ik zou moeten wijzen Ik heb eigenlijk vanochtend geprobeerd dit. 641 00:33:29,950 --> 00:33:31,970 Ik schreef een klein script, zet het op deze URL, 642 00:33:31,970 --> 00:33:34,770 bezocht het met mijn eigen Verizon cellphone na het inschakelen Wi-Fi uit te schakelen. 643 00:33:34,770 --> 00:33:38,010 Dus moet je Wi-Fi uit te schakelen, zodat je gebruikt 3G of LTE of iets dergelijks. 644 00:33:38,010 --> 00:33:40,010 En dan, als u een bezoek Deze URL, al dit script 645 00:33:40,010 --> 00:33:41,770 doet voor jullie, als je wilt spelen, 646 00:33:41,770 --> 00:33:45,380 wordt het spuugt wat HTTP headers uw telefoon is verzending naar onze server. 647 00:33:45,380 --> 00:33:48,510 En ik eigenlijk, in alle eerlijkheid, deed dit vanmorgen, niet te zien welke 648 00:33:48,510 --> 00:33:51,430 doet me denken ofwel de lokale cellphone toren Ik werd aangesloten op 649 00:33:51,430 --> 00:33:55,160 of wat is het niet te doen, of ze hebben backed off van dit tijdelijk doen. 650 00:33:55,160 --> 00:33:58,160 Maar voor meer informatie, aan het hoofd van deze URL hier. 651 00:33:58,160 --> 00:34:00,680 >> En nu dit dit-- comic zou zinvol zijn. 652 00:34:00,680 --> 00:34:03,530 653 00:34:03,530 --> 00:34:04,030 Nee? 654 00:34:04,030 --> 00:34:04,530 OK. 655 00:34:04,530 --> 00:34:05,390 Prima. 656 00:34:05,390 --> 00:34:06,310 Die stierf. 657 00:34:06,310 --> 00:34:07,240 Prima. 658 00:34:07,240 --> 00:34:11,330 >> Dus laten we eens een kijkje nemen op een paar van de meer aanvallen, al was het maar om de aandacht te brengen 659 00:34:11,330 --> 00:34:13,179 en bieden vervolgens een paar mogelijke oplossingen 660 00:34:13,179 --> 00:34:14,430 zodat je bent des te meer bewust. 661 00:34:14,430 --> 00:34:17,305 Deze hebben we gesproken over de andere dag, maar niet een naam te geven aan het. 662 00:34:17,305 --> 00:34:22,360 Het is een cross-site request vervalsing, die is een te mooie manier om te zeggen: 663 00:34:22,360 --> 00:34:26,489 u een gebruiker te verleiden tot het klikken op een URL zoals deze, die hen trucs 664 00:34:26,489 --> 00:34:28,280 in een aantal gedragingen die zij niet van plan was. 665 00:34:28,280 --> 00:34:30,710 >> In dit geval lijkt te proberen om me te misleiden 666 00:34:30,710 --> 00:34:32,920 in de verkoop van mijn aandelen van Google. 667 00:34:32,920 --> 00:34:36,810 En dit zal slagen als Ik, de programmeur van pset7, 668 00:34:36,810 --> 00:34:40,409 hebben niet wat gedaan? 669 00:34:40,409 --> 00:34:44,739 Of liever, meer algemeen, in welke gevallen ben ik kwetsbaar voor een aanval 670 00:34:44,739 --> 00:34:49,460 als iemand trucs een andere gebruiker in het klikken op een URL zoals deze? 671 00:34:49,460 --> 00:34:49,960 Yeah? 672 00:34:49,960 --> 00:34:52,500 >> Publiek: Je hoeft niet te onderscheiden tussen GET en POST. 673 00:34:52,500 --> 00:34:52,760 >> DAVID J. MALAN: Goed. 674 00:34:52,760 --> 00:34:54,850 Als we geen onderscheid maken tussen GET en POST, 675 00:34:54,850 --> 00:34:57,950 en inderdaad, als we toestaan GET voor het verkopen van dingen, 676 00:34:57,950 --> 00:35:00,284 we nodigen dit soort aanvallen. 677 00:35:00,284 --> 00:35:01,950 Maar we konden nog steeds beperken het enigszins. 678 00:35:01,950 --> 00:35:04,283 En ik merkte op, denk ik, vorige week dat Amazon in ieder geval 679 00:35:04,283 --> 00:35:08,180 tracht dit te verminderen met een techniek dat is vrij eenvoudig. 680 00:35:08,180 --> 00:35:11,860 Wat zou een slim ding te doen op uw server, 681 00:35:11,860 --> 00:35:14,652 in plaats van alleen blindelings verkopen welk symbool de gebruiker typt in? 682 00:35:14,652 --> 00:35:15,984 PUBLIEK: Bevestiging van soorten? 683 00:35:15,984 --> 00:35:19,320 DAVID J. MALAN: Een bevestigingsscherm, iets waarin menselijke interactie 684 00:35:19,320 --> 00:35:21,300 zodat ik gedwongen ben om het vonnis te bellen, 685 00:35:21,300 --> 00:35:23,930 zelfs als ik ben naïef geklikt een link die er als volgt uitziet 686 00:35:23,930 --> 00:35:27,760 en leidde me naar de cel scherm op tenminste vroeg me om te bevestigen of te ontkennen. 687 00:35:27,760 --> 00:35:32,460 Maar geen ongewoon aanval, vooral in zogenaamde phishing of spam-achtig 688 00:35:32,460 --> 00:35:33,280 aanvallen. 689 00:35:33,280 --> 00:35:34,890 >> Nu, dit is een beetje subtieler. 690 00:35:34,890 --> 00:35:37,060 Dit is een cross-site scripting-aanval. 691 00:35:37,060 --> 00:35:39,250 En dit gebeurt er als je website maakt geen gebruik van 692 00:35:39,250 --> 00:35:41,260 het equivalent van htmlspecialchars. 693 00:35:41,260 --> 00:35:45,160 En het nemen van input van de gebruiker en net blindelings injecteren in een webpagina, 694 00:35:45,160 --> 00:35:48,170 als met print of echo, met-- again-- iets roepen 695 00:35:48,170 --> 00:35:49,710 als htmlspecialchars. 696 00:35:49,710 --> 00:35:52,602 >> Dus stel dat de website in vraag is vulnerable.com. 697 00:35:52,602 --> 00:35:55,620 En stel dat hij aanvaardt een parameter met de naam q. 698 00:35:55,620 --> 00:35:59,040 Kijk naar wat er kan gebeuren als ik eigenlijk, een bad guy, 699 00:35:59,040 --> 00:36:02,360 typt of truc een gebruiker in het bezoeken van een URL die lijkt op dit-- 700 00:36:02,360 --> 00:36:05,900 q = geopend script-tag, gesloten script tag. 701 00:36:05,900 --> 00:36:08,480 En nogmaals, ik ben ervan uitgaande dat vulnerable.com is niet 702 00:36:08,480 --> 00:36:11,740 gaan naar gevaarlijke draaien karakters zoals open haakjes, 703 00:36:11,740 --> 00:36:15,570 naar HTML entiteiten, de ampersand, L-T, puntkomma ding 704 00:36:15,570 --> 00:36:17,090 dat je eerder zou hebben gezien. 705 00:36:17,090 --> 00:36:18,900 >> Maar wat is het script of JavaScript-code 706 00:36:18,900 --> 00:36:21,160 Ik ben op zoek naar een truc gebruiker in te voeren? 707 00:36:21,160 --> 00:36:25,420 Nou, document.location verwijst naar huidige adres van mijn browser. 708 00:36:25,420 --> 00:36:29,400 Dus als ik het doe document.location =, Dit stelt me ​​in staat om de gebruiker door te sturen 709 00:36:29,400 --> 00:36:30,830 in JavaScript naar een andere website. 710 00:36:30,830 --> 00:36:34,290 Het is net als onze PHP functie omleiden, maar gebeurt in JavaScript. 711 00:36:34,290 --> 00:36:35,900 >> Waar ga ik proberen om de gebruiker te sturen? 712 00:36:35,900 --> 00:36:40,110 Nou, blijkbaar, badguy.com/log.php, die een script blijkbaar 713 00:36:40,110 --> 00:36:43,530 de bad guy schreef, dat neemt een parameter genaamd koekje. 714 00:36:43,530 --> 00:36:46,790 >> En let op, wat doe ik blijken aaneenschakelen 715 00:36:46,790 --> 00:36:49,190 op het einde van die gelijk-teken? 716 00:36:49,190 --> 00:36:52,030 Nou, iets dat zegt document.cookie. 717 00:36:52,030 --> 00:36:53,320 We hebben nog niet gesproken over dit. 718 00:36:53,320 --> 00:36:55,730 Maar het blijkt, in JavaScript, net als in PHP, 719 00:36:55,730 --> 00:36:59,770 U kunt alle cookies toegang dat uw browser daadwerkelijk wordt gebruikt. 720 00:36:59,770 --> 00:37:02,180 >> Dus het effect van deze regel code, als een gebruiker 721 00:37:02,180 --> 00:37:06,440 wordt misleid in het klikken op deze link en de website vulnerable.com niet 722 00:37:06,440 --> 00:37:10,000 ontsnappen met htmlspecialchars, is dat je gewoon effectief hebben 723 00:37:10,000 --> 00:37:13,660 geupload naar al uw cookies log.php. 724 00:37:13,660 --> 00:37:17,300 En dat is niet altijd zo problematisch, tenzij zo'n cookies 725 00:37:17,300 --> 00:37:20,040 is uw sessie-ID, uw zogenaamde kant stempel, dat 726 00:37:20,040 --> 00:37:26,470 betekent badguy.com kan zijn of haar eigen maken HTTP-verzoeken, het verzenden van dat dezelfde hand 727 00:37:26,470 --> 00:37:30,210 stempel, dat dezelfde cookie-header, en log in op welke website 728 00:37:30,210 --> 00:37:33,680 je op bezoek waren, die in dit geval is vulnerable.com. 729 00:37:33,680 --> 00:37:35,940 Het is een cross-site scripting aanslag in de zin 730 00:37:35,940 --> 00:37:38,130 dat je een soort van tricking een site in het vertellen 731 00:37:38,130 --> 00:37:43,560 een andere website over enkele informatie het mag niet, in feite, hebben toegang tot. 732 00:37:43,560 --> 00:37:46,510 >> Oké, klaar voor een andere zorgwekkende detail? 733 00:37:46,510 --> 00:37:49,970 Oké, de wereld is een enge plaats, terecht dus. 734 00:37:49,970 --> 00:37:52,480 Hier is een eenvoudig JavaScript voorbeeld dat is 735 00:37:52,480 --> 00:37:54,847 in de huidige broncode riep geolocatie 0 en 1. 736 00:37:54,847 --> 00:37:56,930 En er is een paar walkthroughs online voor dit. 737 00:37:56,930 --> 00:37:59,920 >> En het maakt het volgende als ik Open deze webpagina in Chrome. 738 00:37:59,920 --> 00:38:04,590 Het doet eerst niets. 739 00:38:04,590 --> 00:38:07,300 OK, we zullen dit opnieuw te proberen. 740 00:38:07,300 --> 00:38:07,800 Oh. 741 00:38:07,800 --> 00:38:10,990 742 00:38:10,990 --> 00:38:13,370 Nee, het moet iets doen. 743 00:38:13,370 --> 00:38:16,500 OK, stand by. 744 00:38:16,500 --> 00:38:18,200 >> Laten we proberen dit eens te meer. 745 00:38:18,200 --> 00:38:21,285 746 00:38:21,285 --> 00:38:21,785 [Onverstaanbaar] 747 00:38:21,785 --> 00:38:26,941 748 00:38:26,941 --> 00:38:29,444 Ah, OK, niet zeker waarom the-- oh, het apparaat 749 00:38:29,444 --> 00:38:31,360 Waarschijnlijk verloor internet toegang voor een bepaalde reden. 750 00:38:31,360 --> 00:38:32,840 Oké, dus gebeurt er met mij ook. 751 00:38:32,840 --> 00:38:34,650 >> Oké, zo bericht wat is hier aan de hand. 752 00:38:34,650 --> 00:38:37,300 Deze cryptisch uitziende URL, wat is slechts een van de CS50-server, 753 00:38:37,300 --> 00:38:41,130 wil mijn computer te gebruiken locatie, zoals fysiek het betekent. 754 00:38:41,130 --> 00:38:45,160 En als, inderdaad, klik ik op Toestaan, laten we eens zien wat er gebeurt. 755 00:38:45,160 --> 00:38:49,030 Blijkbaar, dit is mijn huidige breedtegraad en longitudinale coördineert neer 756 00:38:49,030 --> 00:38:51,660 een pretty darn goede resolutie. 757 00:38:51,660 --> 00:38:53,310 >> Dus hoe ben ik in dit? 758 00:38:53,310 --> 00:38:57,620 Hoe werkt deze website, zoals CS50 server, fysiek waar expertise in de wereld 759 00:38:57,620 --> 00:38:59,600 Ik ben, laat staan ​​met die precisie. 760 00:38:59,600 --> 00:39:01,990 Nou, zet out-- laten we gewoon kijken naar de pagina's source-- 761 00:39:01,990 --> 00:39:05,280 dat hier is een bos van HTML bij de bodem die eerste heeft dit-- 762 00:39:05,280 --> 00:39:09,080 body onload = "Geef de locatie" - gewoon een functie schreef ik. 763 00:39:09,080 --> 00:39:11,840 >> En ik zeg, over het laden de pagina, bel Geef de locatie aan. 764 00:39:11,840 --> 00:39:13,750 En dan is er nog niets in het lichaam, omdat 765 00:39:13,750 --> 00:39:16,270 in de kop van de pagina, let op wat ik hier heb. 766 00:39:16,270 --> 00:39:18,090 Hier is mijn Geef de locatie aan de functie. 767 00:39:18,090 --> 00:39:23,560 En dit is slechts een fout checking-- indien het type navigator.geolocation 768 00:39:23,560 --> 00:39:24,490 is niet gedefinieerd. 769 00:39:24,490 --> 00:39:26,240 JavaScript heeft dit dus mechanisme waar u 770 00:39:26,240 --> 00:39:28,270 kan zeggen, wat is de het type van deze variabele? 771 00:39:28,270 --> 00:39:30,790 En als het niet undefined-- dat betekent dat het aantal value-- 772 00:39:30,790 --> 00:39:35,940 Ik ga om te bellen navigator.geolocation.getCurrentPosition 773 00:39:35,940 --> 00:39:37,230 en dan terugbellen. 774 00:39:37,230 --> 00:39:37,750 >> Wat is dit? 775 00:39:37,750 --> 00:39:39,916 Dus in het algemeen, wat is een callback, gewoon om duidelijk te zijn? 776 00:39:39,916 --> 00:39:42,890 Je zou hebben ondervonden dit reeds in pset8. 777 00:39:42,890 --> 00:39:44,790 Terugbellen is een generieke termijn voor het doen van wat? 778 00:39:44,790 --> 00:39:48,430 779 00:39:48,430 --> 00:39:49,554 Voelt als just me vandaag. 780 00:39:49,554 --> 00:39:50,470 Publiek: [onverstaanbaar]. 781 00:39:50,470 --> 00:39:53,322 782 00:39:53,322 --> 00:39:55,280 DAVID J. MALAN: Precies, een functie die moet 783 00:39:55,280 --> 00:39:57,330 alleen worden aangeroepen wanneer we gegevens hebben. 784 00:39:57,330 --> 00:40:01,510 Deze oproep om de browser, krijg mijn huidige positie, misschien een milliseconde te nemen, 785 00:40:01,510 --> 00:40:02,720 is het misschien een minuut duren. 786 00:40:02,720 --> 00:40:06,960 Wat dit betekent is dat we vertellen de get getCurrentPosition methode, 787 00:40:06,960 --> 00:40:09,910 noemen dit callback functie, die ik letterlijk genoemd callback 788 00:40:09,910 --> 00:40:13,150 voor de eenvoud, dat blijkbaar is dit hier. 789 00:40:13,150 --> 00:40:16,290 >> En de manier waarop getCurrentPosition werkt, simpelweg door het lezen van de documentatie 790 00:40:16,290 --> 00:40:19,540 voor online sommige JavaScript-code, is dat roept dat de zogenaamde callback 791 00:40:19,540 --> 00:40:23,220 functie, geeft ze af het een JavaScript-object, 792 00:40:23,220 --> 00:40:28,970 binnenkant waarvan .coords.latitude en .coords.longitude, 793 00:40:28,970 --> 00:40:32,140 en dat is precies hoe, dan, toen ik herladen van deze pagina 794 00:40:32,140 --> 00:40:33,985 Ik was in staat om mijn plaats hier te zien. 795 00:40:33,985 --> 00:40:35,610 Nu, in ieder geval was er hier een verdediging. 796 00:40:35,610 --> 00:40:37,820 Voordat ik bezocht deze pagina als het feitelijk heeft gewerkt, 797 00:40:37,820 --> 00:40:40,935 wat was ik in ieder geval gevraagd? 798 00:40:40,935 --> 00:40:42,180 >> Publiek: [onverstaanbaar]. 799 00:40:42,180 --> 00:40:44,200 >> DAVID J. MALAN: Ja of no-- doen u wilt toestaan ​​of weigeren dit? 800 00:40:44,200 --> 00:40:46,630 Maar denk ook over de gewoonten jullie hebben waarschijnlijk aangenomen, 801 00:40:46,630 --> 00:40:48,330 zowel op uw telefoon en uw browsers. 802 00:40:48,330 --> 00:40:50,390 Velen van ons, mezelf opgenomen, zijn waarschijnlijk 803 00:40:50,390 --> 00:40:54,960 vrij voorbestemd deze dagen-- u zie je een pop-up, alleen Enter, OK, goedkeuren, 804 00:40:54,960 --> 00:40:55,730 Toestaan. 805 00:40:55,730 --> 00:40:59,070 En in toenemende mate, kunnen u jezelf in gevaar om die redenen. 806 00:40:59,070 --> 00:41:03,280 >> Dus in feite was er deze prachtige bug een paar jaar ago-- of gebrek aan feature-- 807 00:41:03,280 --> 00:41:08,250 dat iTunes had een paar jaar geleden, waarbij, als u een mobiele telefoon had, 808 00:41:08,250 --> 00:41:12,000 en het was een iPhone, en u uw huis verliet 809 00:41:12,000 --> 00:41:15,600 en daarom reisde de hele wereld of de buurt, al die tijd, 810 00:41:15,600 --> 00:41:17,819 uw telefoon werd loggen waar je bent via GPS. 811 00:41:17,819 --> 00:41:20,610 En dit is eigenlijk onthuld, en de mensen soort verwachten dat dit nu. 812 00:41:20,610 --> 00:41:21,930 De telefoon weet waar je bent. 813 00:41:21,930 --> 00:41:24,990 Maar het probleem is dat, toen u een back-up 814 00:41:24,990 --> 00:41:29,260 uw telefoon om iTunes-- voordat deze was de dagen van iCloud, wat betere 815 00:41:29,260 --> 00:41:33,960 of worse-- de gegevens opgeslagen in iTunes, volledig onversleuteld. 816 00:41:33,960 --> 00:41:37,370 Dus als je een gezin of huisgenoten of een kwaadaardige buurman die is 817 00:41:37,370 --> 00:41:41,430 nieuwsgierig naar letterlijk elke GPS coördineert u ooit te zijn geweest, 818 00:41:41,430 --> 00:41:43,300 hij of zij kon gewoon gaat zitten aan iTunes, draaien 819 00:41:43,300 --> 00:41:46,540 wat software die vrij was beschikbaar, en produceren kaarten als deze. 820 00:41:46,540 --> 00:41:48,680 >> In feite is dit wat ik geproduceerd van mijn eigen telefoon. 821 00:41:48,680 --> 00:41:49,380 Ik stopte het in. 822 00:41:49,380 --> 00:41:51,670 En het lijkt erop dat, op basis de blauwe stippen daar, 823 00:41:51,670 --> 00:41:53,900 daar de meeste de GPS coördinaten waren 824 00:41:53,900 --> 00:41:56,680 gelogd door iTunes dat ik was in het noordoosten is er. 825 00:41:56,680 --> 00:42:00,030 Maar ik blijkbaar rond reisde een beetje, zelfs binnen Massachusetts. 826 00:42:00,030 --> 00:42:01,950 >> Dus dat is de haven van Boston er aan de rechterkant. 827 00:42:01,950 --> 00:42:04,430 Dat is een soort van Cambridge en Boston, waar het donkerst. 828 00:42:04,430 --> 00:42:07,660 En af en toe, zou ik lopen boodschappen naar een grotere geografie. 829 00:42:07,660 --> 00:42:11,464 >> Maar iTunes, al jaren, had, als beste Ik kon vertellen, al deze gegevens op mij. 830 00:42:11,464 --> 00:42:13,380 Je kon zien dat, dat jaar, was ik eigenlijk 831 00:42:13,380 --> 00:42:17,990 veel reizen tussen Boston en New York, heen en weer gaan 832 00:42:17,990 --> 00:42:18,830 en heen en weer. 833 00:42:18,830 --> 00:42:22,660 En inderdaad, dit is me op Amtrak, rug en weer, heen en weer, nogal wat. 834 00:42:22,660 --> 00:42:25,970 Dat alles werd gelogd en versleuteld opgeslagen op mijn computer 835 00:42:25,970 --> 00:42:28,520 voor iedereen die zou kunnen hebben toegang tot mijn computer. 836 00:42:28,520 --> 00:42:29,480 >> Dit was zorgelijk. 837 00:42:29,480 --> 00:42:32,180 Ik wist niet waarom ik was in Pennsylvania of waarom 838 00:42:32,180 --> 00:42:35,277 mijn telefoon was in Pennsylvania, blijkbaar redelijk dichtbevolkt. 839 00:42:35,277 --> 00:42:37,360 En dan, eindelijk, ik keek bij mijn Gcal, en, oh, I 840 00:42:37,360 --> 00:42:39,880 bezocht CMU, Carnegie Mellon, tegelijkertijd. 841 00:42:39,880 --> 00:42:42,031 En oef, dat soort legde uit dat blip. 842 00:42:42,031 --> 00:42:43,780 En dan, als u inzoomt verder uit, je kan 843 00:42:43,780 --> 00:42:46,850 zie ik bezocht San Francisco één of meer keren dan, 844 00:42:46,850 --> 00:42:51,140 en ik had zelfs een tussenstop in wat Ik denk dat is Vegas, daar beneden. 845 00:42:51,140 --> 00:42:54,120 Dus al dit-- slechts een tussenstop, op de luchthaven. 846 00:42:54,120 --> 00:42:56,420 >> Publiek: [lachen] 847 00:42:56,420 --> 00:43:00,760 >> Dus dit is slechts dat deze problemen, eerlijk gezegd, zijn alomtegenwoordig. 848 00:43:00,760 --> 00:43:02,780 En het voelt alleen steeds alsof er 849 00:43:02,780 --> 00:43:05,810 meer en meer van deze worden beschreven, dat is waarschijnlijk een goede zaak. 850 00:43:05,810 --> 00:43:08,390 Ik durf te zeggen, de wereld is niet erger bij het schrijven van software. 851 00:43:08,390 --> 00:43:10,520 We zijn steeds beter, hopelijk, bij het opmerken 852 00:43:10,520 --> 00:43:13,037 hoe slecht bepaalde software is dat we gebruiken. 853 00:43:13,037 --> 00:43:14,870 En gelukkig, sommige bedrijven beginnen 854 00:43:14,870 --> 00:43:17,080 hierover verantwoording af aan worden gehouden. 855 00:43:17,080 --> 00:43:19,080 >> Maar wat voor soort verdedigingen kunt u in gedachten? 856 00:43:19,080 --> 00:43:23,610 Dus naast password managers, zoals 1Password en LastPass en anderen, 857 00:43:23,610 --> 00:43:27,340 naast alleen het veranderen van uw wachtwoorden en komen met willekeurige degenen 858 00:43:27,340 --> 00:43:29,700 met behulp van software zoals dat, kunt u ook proberen 859 00:43:29,700 --> 00:43:31,700 zo goed mogelijk te versleutelen al uw verkeer 860 00:43:31,700 --> 00:43:34,680 om ten minste het verkleinen van de zone van een bedreiging. 861 00:43:34,680 --> 00:43:38,100 Dus bijvoorbeeld, als Harvard filialen, kunt u allemaal naar vpn.harvard.edu 862 00:43:38,100 --> 00:43:41,010 en log in met je Harvard-ID en pincode. 863 00:43:41,010 --> 00:43:49,350 En dit zal een veilige stand verbinding tussen jou en Harvard. 864 00:43:49,350 --> 00:43:51,150 >> Nu, dat doet niet se je beschermen 865 00:43:51,150 --> 00:43:54,360 tegen alle bedreigingen die zijn tussen Harvard en Facebook of Harvard 866 00:43:54,360 --> 00:43:54,861 en Gmail. 867 00:43:54,861 --> 00:43:56,735 Maar als je zit in een luchthaven of je bent 868 00:43:56,735 --> 00:43:59,260 zitten in Starbucks of je bent zitten op de plaats van een vriend, 869 00:43:59,260 --> 00:44:02,730 en je ze niet of echt vertrouwen hun configuratie van hun router thuis, 870 00:44:02,730 --> 00:44:04,970 je kunt tenminste vaststellen een beveiligde verbinding 871 00:44:04,970 --> 00:44:10,260 aan een entiteit zoals deze plek dat is waarschijnlijk een beetje beter beveiligd 872 00:44:10,260 --> 00:44:12,437 dan iets als een Starbucks of iets dergelijks. 873 00:44:12,437 --> 00:44:14,270 En wat dit doet is zij vaststelt, opnieuw, 874 00:44:14,270 --> 00:44:16,300 encryptie tussen u en het eindpunt. 875 00:44:16,300 --> 00:44:17,880 >> Zelfs liefhebber zijn dit soort dingen. 876 00:44:17,880 --> 00:44:20,000 Dus sommigen van jullie misschien al vertrouwd zijn met Tor, 877 00:44:20,000 --> 00:44:22,930 die dit soort anonimisering netwerk, waarbij veel mensen, 878 00:44:22,930 --> 00:44:26,640 indien zij deze software te draaien, route vervolgens hun internet 879 00:44:26,640 --> 00:44:27,990 verkeer door elkaar. 880 00:44:27,990 --> 00:44:31,460 Dus de kortste punt is niet meer tussen A en B. 881 00:44:31,460 --> 00:44:35,850 Maar het zou helemaal over de te zo te plaatsen dat je in wezen bent 882 00:44:35,850 --> 00:44:40,742 van sporen en het verlaten minder van een record met betrekking tot waar je HTTP 883 00:44:40,742 --> 00:44:43,950 het verkeer vandaan komt, want het gaat door middel van een hele hoop andere mensen 884 00:44:43,950 --> 00:44:45,990 laptops of desktops, ten goede of ten kwade. 885 00:44:45,990 --> 00:44:48,180 >> Maar zelfs dit is niet een trefzekere ding. 886 00:44:48,180 --> 00:44:51,560 Sommigen van u misschien vorig jaar herinneren de bommelding die werd genoemd in. 887 00:44:51,560 --> 00:44:54,662 En het is uiteindelijk terug te voeren op een gebruiker die dit netwerk hier had gebruikt. 888 00:44:54,662 --> 00:44:57,870 En de vangst daar, als ik me goed herinner, is, als er niet zo veel andere mensen 889 00:44:57,870 --> 00:45:02,190 gebruik van software als dit of met behulp van deze poort en het protocol, 890 00:45:02,190 --> 00:45:06,250 het is niet zo moeilijk voor een netwerk om zelfs erachter te komen wie, met enige waarschijnlijkheid, 891 00:45:06,250 --> 00:45:08,950 was in feite anonimiseringsscript diens verkeer. 892 00:45:08,950 --> 00:45:12,030 >> En ik weet niet of dat waren de feitelijke gegevens in kwestie. 893 00:45:12,030 --> 00:45:15,400 Maar zeker te beseffen dat geen van dit zijn trefzekere oplossingen, als goed. 894 00:45:15,400 --> 00:45:18,820 En het doel vandaag is om tenminste je aan het denken over deze dingen 895 00:45:18,820 --> 00:45:23,140 en komen met technieken voor jezelf te verdedigen tegen hen. 896 00:45:23,140 --> 00:45:28,858 Heeft u vragen over alle van de bedreigingen die je te wachten die er zijn, en in hier? 897 00:45:28,858 --> 00:45:29,358 Yeah? 898 00:45:29,358 --> 00:45:29,858 899 00:45:29,858 --> 00:45:31,793 Publiek: Hoe veilig doen we verwachten dat de gemiddelde 900 00:45:31,793 --> 00:45:35,210 [? website te zijn,?] als de gemiddelde CS50-project? 901 00:45:35,210 --> 00:45:38,530 >> DAVID J. MALAN: De gemiddelde CS50 project? 902 00:45:38,530 --> 00:45:43,190 Het is altijd jaarlijks bewezen sommige CS50 eindopdracht zijn 903 00:45:43,190 --> 00:45:44,530 bijzonder veilig. 904 00:45:44,530 --> 00:45:47,940 Meestal is het enige huisgenoot of hallmate dat de cijfers dit uit 905 00:45:47,940 --> 00:45:51,200 door een verzoek aan uw project. 906 00:45:51,200 --> 00:45:55,230 >> Korte answer-- hoeveel websites veilig zijn? 907 00:45:55,230 --> 00:45:57,450 Ik pik op vandaag anomalieën. 908 00:45:57,450 --> 00:46:00,640 Net als het was gewoon toeval realiseerde ik me dat deze website 909 00:46:00,640 --> 00:46:03,390 Ik heb het bestellen van deze eerlijk gezegd heerlijke arrangementen van-- 910 00:46:03,390 --> 00:46:05,348 en ik ben niet zeker dat ik zal stoppen met het gebruik van hun website; 911 00:46:05,348 --> 00:46:08,030 Ik zou wel eens veranderen mijn password meer regularly-- 912 00:46:08,030 --> 00:46:11,320 Het is niet duidelijk hoe kwetsbare al deze various-- 913 00:46:11,320 --> 00:46:12,970 dit is chocolade bedekte eigenlijk. 914 00:46:12,970 --> 00:46:16,172 915 00:46:16,172 --> 00:46:19,130 Het korte antwoord, kan ik geen antwoord op geven effectief, anders dan om het te zeggen 916 00:46:19,130 --> 00:46:22,150 was niet zo moeilijk voor mij om vinden een aantal van deze voorbeelden slechts 917 00:46:22,150 --> 00:46:24,040 ter wille van de discussie in lezing. 918 00:46:24,040 --> 00:46:26,456 En net in de gaten houden Google News en andere hulpmiddelen 919 00:46:26,456 --> 00:46:29,590 zal des te meer van het brengen dit soort dingen aan het licht. 920 00:46:29,590 --> 00:46:32,460 >> Oké, laten we concluderen met deze prequel 921 00:46:32,460 --> 00:46:36,870 dat CS50's team heeft voor u bereid in afwachting van de CS50 Hackathon. 922 00:46:36,870 --> 00:46:39,763 En op uw weg naar buiten in een moment zal fruit worden geserveerd. 923 00:46:39,763 --> 00:46:40,429 [VIDEO AFSPELEN] 924 00:46:40,429 --> 00:46:43,595 [MUZIEK FERGIE, Q TIP EN GOONROCK, "A LITTLE PARTY doodde nooit NIEMAND (ALL 925 00:46:43,595 --> 00:46:44,373 WE GOT) "] 926 00:46:44,373 --> 00:48:08,880 927 00:48:08,880 --> 00:48:13,467 >> - [SNURKEN] 928 00:48:13,467 --> 00:48:14,300 [END VIDEO AFSPELEN] 929 00:48:14,300 --> 00:48:15,420 DAVID J. MALAN: Dat is het voor CS50. 930 00:48:15,420 --> 00:48:16,544 We zien je op woensdag. 931 00:48:16,544 --> 00:48:20,670 932 00:48:20,670 --> 00:48:25,840 [MUZIEK - Skrillex, "IMMA 'Probeer het uit"] 933 00:48:25,840 --> 00:51:47,776