David J. MALAN: To CS50, i jest to początek 10 tygodniu. Można przypomnieć, że mamy pokazane na ekranie drukarki 3D, które Jest to urządzenie, które trwa szpule plastikowe a następnie wytłacza się przez ogrzewanie i topienie go tak, że możemy wtedy tworzą armię Chang z słonie, na przykład. 

Więc na Leverett House jednak niedawno, że rozmawiał z jednym z koledzy i przyjaciel Chang o nazwie Michelle, którzy faktycznie internowany w to inna firma w zeszłym roku, że ma inną technikę faktycznie tworzenia obiektów trójwymiarowych, jak to malutkie słonia tutaj. Sposób, w jaki to działa w szczególności jest to, że jest to przykład czegoś nazywa stereolitografia, przy czym tam to jest umywalka z żywicy lub cieczy, a następnie uderza, że ​​laser ciekłej i stopniowo Urządzenie windy i dźwigi i windy na rzecz że drukujesz, jak słoń, jako, że ciecz staje się stały. A wynik, rzeczywiście, jest coś, co jest o wiele bardziej wytrzymałe niż niektóre plastikowa część z was prezenty mógł mieć. 

A co Chang uprzejmie nie było dla nas zrobił upływ czasu za pomocą zdjęcia w ciągu jednej godziny lub dłużej, Prawdopodobnie, do produkcji tego faceta tutaj. Czy ktoś, kto nigdy nie pojawią się przed lubią się trafić Start na tym filmie? Pozwól mi iść z, jak o nie. Chodź na górę. Dobrze. A ty jesteś? Luke: Nazywam się Łukasz [niesłyszalne]. David J. MALAN: Cześć, Luke. Miło Pana poznać. 

Luke: Miło cię poznać. Publiczność: On pracuje na UC. 

David J. MALAN: Wiem, chcemy, aby nie promować. W porządku, więc Luke, wszystkie masz do zrobienia w CS50 jest nacisnąć spację wydrukowanie tego słonia. [ODTWARZANIE] - [MASZYNA szum] - [CRASH] - [BOOM] - [CRASH] [KONIEC ODTWARZANIE] David J. MALAN: Więc to jest dokładnie jak to jest, do druku 3D. I tutaj jest słoń. Dziękujemy za zgłoszenie. Dobrze. Więc jeszcze raz, na specyfikacji Ostateczny projekt, to sprzęt, który jest dostępne dla was jest, na pewnych powodów projekt ma jakieś skrzyżowanie oprogramowania i sprzętu, sobie sprawę, że są to obecnie zasoby. 

Chciałem wziąć jedną chwilę dotknąć po artykule, który ukazał się Crimson późno w nocy, które było informujemy, że tego człowieka tutaj, David Johnson, który był starszy nauczyciela do WE 10 już od jakiegoś czasu, opuszcza Harvard w Koniec roku akademickiego. A ja po prostu chciałem Poświęć chwilę, szczerze mówiąc, podziękować Davidowi przed CS50. Był mentorem sortuje do nas przez lata. 

I czuję się jak my, CS50, mają raczej wyrosło z WE 10 tu, ponieważ są tuż przed nami. A on i cały zespół w WE 10 ma było cudownie łaskawy, szczerze mówiąc, jak wlec we wszystkich naszych urządzeń każdy tydzień, i rok temu, pod warunkiem, wiele rady jak my ciekaw, jak one działają WE 10. Więc nasze podziękowania i podziw dla Davida Johnsona. 

[APPLAUSE] 

Teraz unrelatedly, więc końcowy jest naprawdę blisko. Jesteśmy tutaj, w 10 tygodniu. I mamy tylko po prostu Kilka tygodni formalnych tutaj, w klasie w lewo, a następnie przez kilka wydarzeń. Tak, aby dać poczucie, co jest na horyzoncie, jesteśmy tu dzisiaj. 

W środę, odwołanie, musimy gościnny wykład przez nikogo innego niż Microsoft Steve Ballmer własnej. Jeśli nie zostały jeszcze poszedł do cs50.harvard.edu/register, zrobić, ponieważ przestrzeń jest ograniczona. I będą one sprawdzanie Identyfikatory w drzwiach dziś. Jeśli nie tu w zeszłym tygodniu, myślałem, że dokuczać Ci inny wygląd na Steve'a i emocji, że czeka nas w środę. 

[ODTWARZANIE] 

-Passion. 

-We're Będzie hardcore-- Hardcore. 

-Innovator. 

-Bill Powiedział, że nie rozumiem. Mamy zamiar umieścić Komputer na każdym biurku i w każdym domu, który stał motto firmy. Przysięgam, Bill wymyślił tej nocy naprawdę dają mi niektóre z wizją dlaczego mam powiedzieć tak. Nigdy nie spojrzał, naprawdę, po tym. 

, Fresh z college'u raczkujący starcie dołączył do i pomagał wzrastać do jednego z Ameryki największe sukcesy firmy w historii. Życie i biznes wnioski wyciągnięte po drodze niech go z powrotem do jego pasja i miłość z dzieciństwa. I te doświadczenia przygotowaliśmy go za jego kolejne wyzwanie w życiu. 

-Nic Nie dostaje w naszym way-- boomu! Przychodzić Hardcore! Idź Clippers! 

-To Jest Steve Ballmer, "In My Own Words". [KONIEC ODTWARZANIE] David J. MALAN: --this Środy do CS50. Udać ponownie do tego adresu URL tutaj. Co do tego, co jeszcze jest na horyzoncie, w przyszłym tygodniu, nie wykład w poniedziałek. Ale będziemy po przez quizu jeden w środę. Przejdź do strony głównej CS50 uzyskać szczegółowe na ludzi, miejsc i czasów dla wszystkich różnych proctoring logistyka i tym podobne, jak również o przegląd sesje, które są w przygotowaniu. A potem, na koniec, w poniedziałek, dnia przed tygodniem Dziękczynienia przerwie sobie sprawę, będzie to nasz ostateczny wykład. Będziemy służyć ciasto i wielki dużo emocji, mamy nadzieję. 

Teraz, kilka innych aktualizacji. Należy pamiętać, że stan Raport, który jest tak naprawdę ma być swobodna interakcja z TF z dumą stwierdzać tylko jak daleko wraz z Ostateczny projekt jesteś, lub przynajmniej jako normalności Należy sprawdzić, czy zbliżać się, że wskazują wkrótce. Hackathon następnie wynika, że. Zrealizować Hackathon nie jest okazja rozpocząć ostateczny projekt, ale ma być okazją się w środku lub w kierunku koniec ostatecznego projektu, z realizacji odpowiednim kilka dni później, po targach CS50. 

Teraz jest produkcja CS50 zespół, kilka lat temu, ułożyła teaser na targach CS50, że myślałem, że pokażemy dziś bo już ciężko w pracy na prequel dla że, nowe wideo że uda nam się zawrzeć dziś. Ale oto co czeka na Ciebie na tegorocznych targach CS50. [ODTWARZANIE] - [CELL dzwoniący telefon] [MUZYKA "Theme From Mission: Impossible"] [KONIEC ODTWARZANIE] David J. MALAN: Tak, że jest dokładnie tak, jak zamkniemy ostateczne wnioski projektowe. Kilka teraz teasers-- jeśli chcesz dołączyć do Nicka tutaj na obiad, jak zwykle, Piątek, udać się do tego adresu tutaj. Ponadto, jeśli chcesz dołączyć Pseudonim lub ten Nick czy ten lub jakikolwiek Allison członkowie zespołu CS50, w sobie sprawę, że wkrótce po pozbawić, w CS50 będzie już rekrutacji dla przyszłorocznego zespołu, dla urzędów, TFS, projektantów, producentów, naukowcy i inne pozycje które tutaj działają CS50 zarówno w przed i za kulisami. Więc, czy to może być interesujące do Ciebie, udać się do tego adresu tutaj. I uczniowie bardziej komfortowe, mniej wygodne, a gdzieś w między podobni są mile widziane i zachęca się do stosowania. 

Więc to był doskonały czas, że nie żart, tego ranka, gdy się obudziłam, Miałem ten tutaj spamu w skrzynce odbiorczej. To rzeczywiście spadł przez filtr antyspamowy Gmaila jakoś, a zakończył się w mojej rzeczywistej skrzynki odbiorczej. I mówi: "Drogi skrzynki użytkownik, jesteś obecnie uaktualniony do 4 gigabajtów przestrzeni. Proszę się zalogować do swojego konta w celu sprawdzenia e-przestrzeni. " 

I jest jeszcze ten miły niebieski kuszące Link tam kliknij dla wykładowców i pracowników, które następnie doprowadziły mnie do cudownie legalne strony, która poprosił mnie, aby dać im moje nazwisko i adres e-mail i, oczywiście, hasło, aby potwierdzić kim jestem i tak dalej. Oczywiście, jak to zwykle przypadek, przyjeździe na tej stronie docelowej, i oczywiście, nie co najmniej jedna literówka, który wydaje się być gwoździem Trumna według któregokolwiek z tych oszustw. A my po, być może, jakieś inne linki do tych rodzajów zrzutów ekranu w przyszłości. Ale miejmy nadzieję, że większość ludzi w pokój ten nie clicked-- a nawet jeśli już kliknął takie linki, jak to, nie posunęli się tak daleko, że wypełnić te formy i tak dalej. W rzeczywistości, to jest OK, jeśli masz. Postaramy się ustalić, że dzisiaj, ponieważ, Rzeczywiście, dzisiejsza rozmowa jest o bezpieczeństwo. 

I rzeczywiście, jeden z Cele CS50 nie jest tak dużo uczyć CE lub PHP lub JavaScript lub SQL lub każdy z nich bazowego szczegóły realizacji. Ale to do was jako ludzi upoważnić po prostu zrobić lepsze decyzje, jak to odnosi się do technologii w dół Droga tak, czy jesteś inżynier czy humanista lub naukowca lub inny rola robisz świadomych decyzji o własnym użytkowania komputerów, lub jeśli jesteś w decyzyjne stanowiska, w polityce, w szczególności, robisz wiele, znacznie lepsze niż decyzje Wiele dzisiaj ludzie byli. I zrobimy to przez sposób kilka przykładów. 

Po pierwsze, byłem dość zaskoczony niedawno odkryć, co następuje. Tak haseł oczywiście to, co większość z nas użyć do ochrony naszej data-- email, czat, i wszelkiego rodzaju zasobów, takich jak to. I po prostu nie awkward-- pokazać z ręce, ale wstyd zakłopotany, wygląd ilu z was używać tego samego hasła w wielu różnych stron internetowych? 

Och, OK, więc zrobimy ręce. OK, więc wielu z was zrobić. Każdy, kto to robi, tylko dlaczego? I co z tego? Tak? Publiczność: To łatwe do zapamiętania, ponieważ nie musisz pamiętać [niesłyszalne]. David J. MALAN: Tak, jest to łatwe do zapamiętania. Jest to całkowicie uzasadnione, racjonalne zachowanie, chociaż ryzyko narażasz się co w tych przypadkach jest po prostu jeden lub więcej z tych stron jest podatny na włamania lub niezabezpieczone lub hasło tylko tak cholernie odgadnięcia, każdy może zrozumieć. Nie tylko jest jedno konto naruszona, ale teoretycznie dowolny Rachunki masz w internecie. Tak wiem, że mogę dziś powiedzieć, nie używać tego samego hasła wszędzie, ale to jest o wiele łatwiej powiedzieć, niż zrobić. Ale są techniki łagodzenia że szczególne zaniepokojenie. 

Teraz się zdarzyć, na przykład, użyć programu o nazwie 1Password. Innym popularnym jeden nazywa LastPass. I kilka użyć personel CS50 lub więcej z tych rodzajów narzędzi. I długie opowiadanie, Na dzisiaj jeden wynos powinny być, tak, może mieć samego hasła wszędzie, ale to jest bardzo łatwe do zrobienia, że ​​nie. Na przykład, w tych dniach, wiem może jeden z moich dziesiątki lub setki haseł. Wszystkich moich innych haseł są pseudo-losowo generowane przez jeden z tych interfejsów. A w skrócie, a nawet choć większość z tych programów pochodzą raczej z odrobiną koszt, chcesz zainstalować program w ten sposób, będzie można następnie zapisać wszystkie nazwy użytkownika i hasła wewnątrz tego programu na własne Mac lub PC lub cokolwiek, i to byłoby szyfrowane na komputerze z tym, co mam nadzieję, że Szczególnie długie hasło. Więc mam całą masę Hasła dla poszczególnych stron internetowych, i mam naprawdę Mam długie hasło użyć do odblokowania wszystkich te inne hasła. A co ładne o jak to jest oprogramowanie , że podczas odwiedzania strony internetowej, która jest z prośbą o podanie nazwy użytkownika i hasła, te dni, nie wpisywać moja nazwa użytkownika i hasło, bo, znowu, ja nawet nie wiem co większość moich haseł są. I zamiast uderzać w klawiaturę skrótu, których wynikiem jest do uruchomienia tego oprogramowania, aby Pyta o hasło główne. I następnie wpisz to jeden wielki hasło w, wówczas przeglądarka automatycznie wypełnia co moje hasło. Tak naprawdę, jeśli wziąć nic innego od dzisiaj pod względem haseł, to oprogramowanie, które są warte pobierania lub inwestowanie w tak że można przynajmniej przerwa że zwłaszcza zwyczaj. A jeśli jesteś typem, który jest za pomocą post-it lub like-- i kursy są co najmniej jeden z was is-- że zwyczaj, zbyt, wystarczy powiedzieć, powinno być przerwane. 

Teraz, zdarzyło mi się odkryć, w wyniku korzystania z oprogramowania, po. Byłem zamawiania jadalny Porozumienie, ten kosz owoców, niedawno. A ja uderzyłem specjalną klawiaturę skrót, aby zalogować się na stronie internetowej. I oprogramowanie uruchamiane pop-up, który powiedział, to na pewno chcesz mnie automatycznie przedstawić tę nazwę użytkownika i hasło? Ponieważ połączenie jest niepewna. 

Połączenie nie jest przy użyciu protokołu HTTPS dla bezpiecznej, przy użyciu tego protokołu, znany jako SSL, Secure Sockets Layer. I rzeczywiście, jeśli spojrzeć na w lewym górnym rogu tej strony internetowej, to tylko www.ediblearrangements.com, nie HTTPS, który nie jest tak dobry. 

Teraz, być może to był curious-- jest po prostu błąd w oprogramowaniu. Z pewnością, jak niektórzy strona to, że wielu z nas wie o jest co najmniej za pomocą szyfrowania lub HTTPS do logowania się. Więc mam trochę ciekawy tego ranka. I mam moje umiejętności CS50, Otworzyłem Chrome Inspector. To nie jest nawet dużo umiejętności. To tylko trafić we właściwą klawiaturę Skrót, aby otworzyć to. I tu jest duże okna z Chrome Inspektora. 

Ale to, co było w rzeczywistości trochę tragiczne i śmieszne były te dwie linie tutaj. W górę w górę, zauważysz adres URL które moja nazwa użytkownika i hasło zostały złożone. Pozwól mi przybliżyć. Było to tutaj. A wszystko to jest jakby nieciekawe, z wyjątkiem rzeczy na drodze w lewica, która zaczyna się od http: //. I tak to, OK, może oni po prostu wysyłając moja nazwa użytkownika, który jest nie taka wielka sprawa. Może moje hasło zostanie wysłane później. To będzie rodzaj ciekawa decyzja projektowa. 

Ale nope. Jeśli to nie patrzeć na żądanie ładowność, nazwa użytkownika i hasło I sent-- i wyśmiewany to się na slide-- zostały faktycznie wysłane w jasne. Więc idziesz do tej konkretnej stronie i Jadalne Arrangement zamówić tak, i rzeczywiście, jak widać, za to wszystko czas byłem zamawiania z nich, Twoja nazwa użytkownika i hasło idzie w poprzek w jasne. Tak szczerze, to jest całkowicie nie do przyjęcia. I to tak trywialne rzeczy, aby uniknąć tak jak projektanta strony internetowej i jako programista na stronie internetowej. 

Ale tu na wynos nas jako użytkowników stron internetowych jest po prostu zrozumieć, że wszystko Wystarczy na jeden głupi projekt Decyzja, nieuzasadnione decyzje projektowe, tak, że teraz, jeśli wiesz, moje hasło to "Crimson" na ten temat strona, to prawdopodobnie tylko dostał się cała masa inne strony internetowe, które mam teraz. I nie wiele z obrona przed że inny niż to, co zrobił Chang rano. Udał się do uzgodnień, które Jadalne znajduje się w dół ulicy w Cambridge, i fizycznie kupił to dla nas. To było o wiele bardziej bezpieczne niż za pomocą strony internetowej, w tym przypadku. 

Ale szczegół, aby mieć oko na jest w rzeczywistości, co jest w górze przeglądarki górę tam. Ale nawet, że może być trochę złudne. Tak więc kolejny ciekawy przykład i sposób obrony przed this-- i rzeczywiście, niech nie, że first-- sposób obrony na to technika że ludzie Bezpieczeństwem zadzwonić dwuskładnikowego uwierzytelniania. 

Czy ktoś wie, co rozwiązanie do problemów, takich jak to oznacza? Co to jest dwuskładnikowego uwierzytelniania? Albo innymi słowy, w jaki sposób wielu z was go używać? OK, więc kilka nieśmiałych osób. Ale tak. Widziałem, ręka w górę. Co to jest dwuskładnikowego uwierzytelniania? 

Publiczność: W zasadzie, oprócz do wpisywania hasła, masz również wtórną [niesłyszalne] przesyłane za pośrednictwem wiadomości tekstowych w telefonie w [niesłyszalne]. David J. MALAN: Dokładnie. Oprócz niektórych formę podstawową uwierzytelniania, takich jak hasła, zostaniemy zapytani o wtórna Czynnikiem, który jest zwykle coś trzeba fizycznie na Ciebie, choć to może być czymś zupełnie innym. I to jest to zazwyczaj telefon w tych dniach, do którego można dostać wysłał wiadomość tekstową, która mówi tymczasowy "Twój tymczasowy kod dostępu jest 12345." 

Więc oprócz mojego Hasło "purpura", ja też musisz wpisać cokolwiek Witryna texted mnie. Albo, jeśli masz to z bank lub rachunek inwestycyjny, czasem mają one małe klucze, które rzeczywiście pseudolosowych wbudowany generator liczb do nich, ale oba urządzenia, a bank wiedzieć, co jest początkowa nasion tak aby wiedzieć, nawet jak Kod na trochę mało pilota maszeruje przed każdą minutą lub dwa, zmiana wartości, tak też, że zmiany wartości na serwerze banku tak, że mogą one w podobny sposób uwierzytelniania ty, nie tylko z hasłem, ale z tego kodu czasowego. Teraz rzeczywiście można to zrobić w Google. I szczerze mówiąc, jest to dobry zwyczaj, aby dostać się do, zwłaszcza jeśli używasz Gmail cały czas w przeglądarce. Jeśli pójdziesz do tego adresu URL, który jest tutaj w slajdy na forum na dzisiaj, a następnie kliknij 2-Step weryfikacji, samo rzeczywisty rzeczą tam. Zostaniesz poproszony, aby dać im swój numer telefonu komórkowego. A potem, kiedy tylko zalogować się Gmail, będziesz nie tylko zapytałem o hasło, ale także dla trochę kodu, który zostanie wysłany na Twój telefon tymczasowo. I tak długo, jak masz włączoną obsługę plików cookie, i tak długo, jak nie jawnie zalogować się, musisz tylko to zrobić raz na jakiś czas, jak wtedy, gdy siadasz w nowej komputera. 

I odwrotnie tutaj też jest, jeśli ty usiąść w jakimś stylu Internet Cafe komputer lub po prostu komputer znajomego, nawet jeśli tego znajomego złośliwie lub nieświadomie ma jakiś rejestrator klawiatury zainstalowane na swoim komputerze, takie, że wszystko ci Typ jest zalogowany, przynajmniej, że drugim czynnikiem, który kod tymczasowy, jest ulotne. Więc on lub ktokolwiek jest zagrożona komputer Nie można zalogować się do ciebie później, nawet jeśli wszystko inne było narażone lub nawet niezaszyfrowana całkowicie. Facebook ma to też z tego adresu URL tutaj, gdzie można kliknij Zaloguj Aprobat. Tak i tu, jeśli nie chcą przyjaciół kłuć ludzi, nie chcesz być szturchanie na Facebooku lub delegowania aktualizacje statusu dla Ciebie, dwuskładnikowego uwierzytelniania tutaj jest chyba dobrze. I jest jeszcze ten inna technika całkowicie, właśnie audyt, który jest jeszcze dobre dla nas, ludzi, jeśli okaże dwuczynnikowa irytujące, które trzeba przyznać, że może lub nie jest to tylko dostępny na jakiejś stronie, minimalnie na oku, czy i kiedy jesteś logowanie do witryny, jeśli pozwalają, to dobra technika, zbyt. Tak Facebook daje również to Powiadomienia logowania wyposażone, przy czym Facebook zdaje sobie sprawę, w każdej chwili, hm, David ma zalogowany z jakiegoś komputera lub telefonu że nigdy nie widział od adres IP, który wygląda nieznane, oni przynajmniej wysłać e-mail, aby bez względu na adres e-mail masz w pliku, mówiąc, to wygląda podejrzanie? Jeśli tak, należy natychmiast zmienić hasło. A więc nie, też, tylko zachowanie audytu nawet po tym, jak było naruszona, mogą być co najmniej wąskie okno w czasie które są narażone. 

Wszystko w porządku, wszelkie pytania na takie rzeczy do tej pory? Dziś jest dzień, aby wszystkie Twoja paranoja potwierdził lub zaprzeczył. To się w większości potwierdzone, niestety. Tak? 

PUBLICZNOŚCI: [niesłyszalne] telefon, Co zrobić, jeśli przerwy telefonów, i to jest to zawsze trudno verify-- 

David J. MALAN: True. 

Publiczność: Albo jeśli jesteś w inny kraj, a oni nie pozwalają zaloguj się ponieważ [niesłyszalne]. David J. MALAN: Absolutnie. A więc są to dodatkowe koszty, które ponoszą. Zawsze ten temat na kompromis, mimo wszystko. A następnie, w przypadku utraty telefonu, jeśli pęknie, jeśli jesteś za granicą, lub po prostu nie mają sygnału, jak sygnał 3G lub LTE nie może faktycznie w stanie uwierzytelnić. 

Więc jeszcze raz, te dwa są kompromisy. A czasami, może stworzyć Dużo pracy dla Ciebie w wyniku. Ale to naprawdę zależy, a następnie, na co do ciebie oczekuje cena to, że coś jest zagrożona w ogóle. 

Tak SSL, to jest to technika wszyscy powszechnie za oczywiste lub zakładają tam jest, choć że wyraźnie nie jest to przypadek. I nadal można wprowadzać w błąd ludzi, chociaż, nawet z tym. Więc oto przykład banku. 

To Bank of America. Jest ich cała masa w Harvard Square i poza nią. I zauważyć, że na samej górze ekran, nie, rzeczywiście, HTTPS. I to nawet na zielono i wyróżnione przez nas wskazuje, że jest to rzeczywiście legalnie bezpieczna strona internetowa, i tak byliśmy szkoleni, aby uwierzyć. 

Obecnie, oprócz tego, chociaż zauważyć, że, jeśli powiększyć, nie ma to coś tu, gdzie zostanie wyświetlony monit, aby zalogować się. Co to oznacza prawo kłódkę tam, obok mojej nazwie użytkownika zapyta? Jest to dość powszechne na stronach internetowych, zbyt. Co to kłódka oznacza? Wydajesz się wiedzieć. 

Publiczność: To nic nie znaczy. 

David J. MALAN: Jest nic nie znaczy. Oznacza to, że Bank of America wie jak pisać tagów HTML z obrazu, prawda? To naprawdę nic nie znaczy, bo nawet my, korzystając z pierwszego dnia naszego spojrzenia w formacie HTML, można zakodować do strony z czerwone tło i obraz, jak GIF lub czymkolwiek innym, tym dzieje się wyglądać na kłódkę. A jednak, to jest super powszechne na stronach internetowych, bo byliśmy szkoleni zakładać że, och, kłódki oznacza bezpieczne, kiedy tak naprawdę oznacza znasz HTML. 

Na przykład, już w dzień, mogłem właśnie umieścić to na mojej stronie internetowej, twierdząc, że to bezpieczne, i prosząc, skutecznie, dla nazw użytkowników i haseł ludzi. Więc patrząc w adresie URL jest przynajmniej lepszego pojęcia, dlatego, że jest wbudowany w Chrome lub cokolwiek przeglądarki używasz. Ale nawet wtedy, czasami rzeczy może pójść nie tak. I faktycznie, nie zawsze mógłby zobacz HTTPS, nie mówiąc już na zielono. 

Czy ktoś z was kiedykolwiek widać ekran jak to? Możesz mieć, rzeczywiście, wcześniej, w październiku, gdy zapomniałem zapłacić za nasze Certyfikat SSL, jak to się nazywa, i szukaliśmy jak to przez godzinę lub dwie. Więc prawdopodobnie widział rzeczy tak, ze strajku-through, jak czerwonej linii, za pośrednictwem Protokół w adresie URL lub jakiś rodzaj ekranu, który jest Ci przynajmniej upomnienia za próbę przejść dalej. I tu jest zaproszenie Google można wrócić do bezpieczeństwa. 

Obecnie, w tym przypadku, to rozumie się, że tylko certyfikat SSL, który używaliśmy, duże, matematycznie przydatne numery które są związane z serwerem CS50, w były nieważne. I rzeczywiście, można symulować tego, jak można na laptopie. Jeśli pójdę do Chrome tutaj, i chodźmy do facebook.com, i wygląda na to, to jest bezpieczne. Ale pozwól mi iść do przodu i teraz kliknij na kłódkę tutaj. 

I pozwól mi iść do połączenia, Informacje o certyfikacie. I rzeczywiście, co będziesz zobacz tutaj jest kilka z niższego poziomu szczegółów na temat którzy facebook.com naprawdę jest. Wydaje się, że zapłacili oni pieniądze Firma o nazwie może DigiCert Wysoka Pewności, że obiecał powiedzieć resztę świata ,, że w przypadku przeglądarki nie ogląda certificate-- można myśleć z niego dosłownie jak świadectwo, że Wygląda na to, że kiepskie rzeczy na górze lewy-- następnie facebook.com, którzy mówią, że jest są, bo przez cały ten czas, kiedy można znaleźć na stronie internetowej, jak cs50.harvard.edu lub facebook.com lub gmail.com które używają protokołu HTTPS Adresy URL, za kulisami, nie ma tego rodzaju transakcji dzieje się automatycznie dla Ciebie, w którym facebook.com, w tym przypadku, wysyła do przeglądarki jego tzw certyfikat SSL, a raczej, jego klucz publiczny, a następnie w przeglądarce wykorzystuje ten klucz publiczny aby następnie wysłać zaszyfrowany ruch do i od niego. 

Ale to nie cała ta hierarchia w świecie firmy że płacisz pieniądze na który będzie czym świadczą w pewnym sensie cyfrowym, że rzeczywiście jesteś facebook.com lub Twój serwer jest rzeczywiście cs50.harvard.edu. I wbudowane w przeglądarkach, jak Chrome i IE i Firefox, Jest to lista wszystkich tych, tak zwane władze certyfikatu które zostały zatwierdzone przez Microsoft i Google i Mozilla aby potwierdzić lub zaprzeczyć, że facebook.com to kto to mówi, że jest. Ale jest haczyk te rzeczy nie wygasa. W rzeczywistości wygląda na Facebooka to wygasa następny października, w 2015 roku. 

Tak naprawdę możemy symulować to, gdybym go w moim komputerze Mac do moich preferencjach systemowych, i idę do daty i czasu, i Idę do daty i czasu tutaj, i odblokować here-- szczęście nie ujawniają hasło to time-- a teraz idę na dół, aby usunąć zaznaczenie tego. I niech actually-- oops, to nie tak ciekawe jak to robi. Jesteśmy dosłownie w przyszłości, teraz, co oznacza, że ​​to jest to, co 2020 jest podobne. Gdybym teraz odświeżyć page-- zróbmy to w Ingognito mode-- jeśli przeładowanie strony, nie idziemy. 

Więc teraz, mój komputer myśli to jest 2020, ale przeglądarka wie, że to zaświadczenie Facebook wygasa, oczywiście, w 2015 roku. Więc to daje mi ten czerwony komunikat. Teraz, na szczęście, przeglądarki jak Chrome ma rzeczywiście zrobiłem to dość trudne do przejść mimo. Oni naprawdę chcą mnie wrócić do bezpieczeństwa. 

Gdybym tutaj na Advance, to powie mi więcej szczegółów. A jeśli naprawdę chcę postępować, oni niech mi iść do facebook.com, który jest, ponownie, niebezpieczne, w którym momencie Zobaczę stronę Facebooka, tak. Ale wtedy inne rzeczy wydają się być złamanie. Co prawdopodobnie łamiąc w tym momencie? Publiczność: JavaScript. David J. MALAN: Jak JavaScripts i / lub CSS pliki są podobnie napotkaniu tego błędu. Więc jest to tylko zła sytuacja ogólna. Ale chodzi o to, że co najmniej Facebook rzeczywiście ma włączone SSL dla serwerów, jak wiele stron internetowych, zrobić, ale niekoniecznie wszystkie. 

Ale to nie jest sam na wynos tutaj. Okazuje się, że nawet SSL Wykazano nie zabezpieczone w jakiś sposób. Więc jestem jakby dając do zrozumienia, że ​​protokół SSL, dobra. Poszukaj HTTPS, a życie jest dobrze, bo cały swój ruch HTTP i nagłówki i treść jest zaszyfrowana. 

Nikt nie może go przechwycić środek, za wyjątkiem tak zwanego człowieka w środku. Jest to ogólna technika w świecie zabezpieczenia znanego jako atak typu man-in-the-middle. Załóżmy, że masz ten mały laptop tutaj po lewej stronie, i załóżmy, że próbujesz odwiedzić Serwer tam na prawo, jak facebook.com. 

Ale załóżmy, że w między tobą i Facebook, Jest cała masa innych serwerów i Urządzenia, takie jak przełączniki i routery, Serwery DNS, serwery DHCP, żaden z których kontrolować. Może być ono sterowane przez Starbucks lub Harvard czy Comcast lub podobne. Cóż, przypuszczam, że ktoś złośliwie, w sieci, między tobą i Facebooku, jest w stanie powiedzieć, że, wiesz co, adres IP Facebook nie jest to, co myślisz, że jest. Jest to IP zamiast. 

I tak w swojej przeglądarce nabrać na żądanie ruchu z innego komputer całkowicie. Cóż, przypuszczam, że komputer po prostu patrzy na wszystko ruchu żądasz od Facebook i wszystkich stronach internetowych że żądasz od Facebooka. I za każdym razem widzi w ruchu Adres URL, który rozpoczyna się od https, dynamicznie na latać, przepisuje go jako HTTP. I za każdym razem widzi miejsce Nagłówek, lokalizacja jelita grubego, jak możemy użyć do przekierowania Użytkownik, ci też może być zmienione przez tego człowieka w środkowy z protokołu HTTPS do HTTP. 

Dlatego, mimo że sam mógłby Myślisz, że jesteś w prawdziwym Facebooku, to nie jest trudne do Przeciwnik z fizycznym dostępem do sieci po prostu wrócić do ciebie, że strony wyglądają jak Gmail, że wyglądają jak Facebook, i rzeczywiście URL jest identyczne, ponieważ są one udając, że mają tę samą nazwę hosta z powodu jakiegoś wyzysku DNS lub jakiś inny system tak. A wynik jest więc że tylko my, ludzie, moc sobie sprawę, że OK, to wygląda Gmail lub przynajmniej starsza wersja, jak jest to slajd z starszy prezentacji. Ale wygląda na to, this-- http://www.google.com. 

Więc i tu rzeczywistość jest to, że jak wielu z was, gdy idziesz do Facebook lub Gmail lub jakikolwiek Strona internetowa i wiesz co nieco o SSL, jak wielu z was fizycznie wpisz https: //, a następnie na stronie internetowej Nazwa wprowadź. Większość z nas po prostu wpisać, jak, CS50, naciśnij Enter, lub F-na Facebook i naciśnij klawisz Enter, a niech to autouzupełniania. Ale za kulisami, czy można oglądać ruch HTTP, tam chyba cała masa z tych nagłówków lokalizacji że wysyłasz przed Facebook na www.facebook.com do https://www.facebook.com. 

Więc to jest jeden lub więcej transakcji HTTP gdzie informacje są całkowicie wysyłane w jasne, nie ma szyfrowania w ogóle. Teraz, że nie może być tak duży czynienia, jeśli wszystko, co próbujesz zrobić jest dostęp do strony głównej, nie jesteś wysyłając swój login i hasło. Ale co to jest pod kaptur, zwłaszcza dla witryn opartych na PHP, które także wysłał tam iz powrotem, gdy polecamy odwiedzić jakąś stronę internetową jeśli że zastosowania strona internetowa, powiedzmy, PHP i realizuje funkcjonalność jak pset7? Co było wysyłane tam iz powrotem w nagłówkach HTTP, które dał ci dostęp do tego dość przydatne bardzo globalne w PHP? 

WIDOWNI: Cookies. 

David J. MALAN: Cookies, specjalnie PZP Sesja ID cookies. Więc przypominam, jeśli idziemy do, powiedzmy, ponownie cs50.harvard.edu, ale tym razem, otwórzmy się Karta sieciowa, a teraz, tutaj, niech dosłownie iść do http://cs50.harvard.edu a następnie naciśnij Enter. A potem spojrzeć na ekran tutaj. Zauważ, że w rzeczywistości ma 301 przeniósł się z powrotem na stałe wiadomości, co oznacza, że Nagłówek nie ma tu miejsce, który jest obecnie przekierowanie mnie do HTTPS. 

Ale Połów jest, że jeśli już cookie umieszczone na ręku praktycznie, jak już omówione wcześniej, i I ludzkie jakby nieświadomie wystarczy odwiedzić niepewny wersji, a moja przeglądarka bierze na siebie, aby pokazać, że stempel na rękę Pierwszy wniosek, który jest przez HTTP, ktoś w środku, każdy Przeciwnik w środku, teoretycznie można po prostu zobaczyć te nagłówki HTTP, po prostu jak patrzymy na nich tutaj. To tylko raz jesteś rozmowy z HTTPS Adres URL jest, że sama ręka się znaczek szyfrowane, a la Cezar lub Vigenère ale z hodowcy algorytmu całkowicie. Tak i tu, nawet jeśli strony internetowe, korzystać z protokołu HTTPS, my, ludzie są klimatyzowane, dzięki technik autouzupełniania i innych, nawet nie myśleć o potencjalne konsekwencje. Teraz istnieją sposoby wokół tego. Na przykład, wiele strony internetowe mogą być konfigurowane tak, że gdy już tę rękę znaczek, można powiedzieć, przeglądarkę, Znaczek ten jest tylko ręka dla połączeń SSL. Przeglądarka nie powinna przedstawić to mi chyba, że ​​to przez SSL. Ale wiele stron internetowych nie przejmuj się tym. I wiele stron internetowych, najwyraźniej nawet nie próbuj z SSL na wszystkich. 

Więc bardziej na tym, że w rzeczywistości nawet więcej brudu w tej prezentacji że kolega dał się tzw czarny kapelusz konferencji kilka lat temu, gdzie nie ma nawet inne skorzystało złośliwe sztuczki ludzi. Można przywołać ten Pojęcie favicon, który jest jak małe logo, które jest często w oknie przeglądarki. Cóż, to, co było powszechne wśród złych facetów jest aby fab ikony, które wyglądają jak co? PUBLICZNOŚCI: [niesłyszalne]. David J. MALAN: Powiedz jeszcze raz? Publiczność: Strony internetowe. David J. MALAN: Nie strona. Więc favicon, malutkie ikony. Jaki byłby najbardziej złośliwy, zmanipulowana rzeczą można zrobić na swojej stronie Domyślna ikona wygląda? Publiczność: zielony zamek. David J. MALAN: Co to jest? Publiczność: trochę zielony zamek. David J. MALAN: Jak zielony zamek, dokładnie. Więc można mieć to estetyczne z odrobiną zielonej kłódki, dając do zrozumienia światu, oh, my jesteśmy zabezpieczyć, kiedy znowu wszystko oznacza to, jest to, że wiesz, niektóre HTML. Więc sesji porwanie oznacza dokładnie to. Jeśli masz kogoś, kto jest rodzaj wąchania fale radiowe w tym pokoju tutaj czy ma fizyczny dostęp do sieci i widzi swoje ciasteczka, On lub ona może chwycić, że PHP Sesja ID cookies. A potem, jeśli są tyle bystry, by wiedzieć, jak wysłać to ciasteczko jak własne Znaczek ręcznie poprzez skopiowanie tej wartości i wysłanie nagłówków HTTP, ktoś mógłby bardzo łatwo zaloguj się do żadnego z Facebook rachunków lub kont Gmail lub konta na Twitterze, które są tutaj, otwarte w pokoju, jeśli nie przy użyciu protokołu SSL i jeśli strona jest nieprawidłowo przy użyciu protokołu SSL. 

Więc przejście do innego. Więc kolejna prawdziwa historia. I to właśnie wybuchła w aktualności tydzień lub dwa temu. Verizon robi bardzo zła rzecz, i jak najlepszych ludzi może powiedzieć, co najmniej od 2012 roku, zgodnie z którym, gdy dostęp do stron za pośrednictwem Verizon telefon, co producent to jest, były one rozmyślnie, jak mówi historia, wstrzykiwanie do wszystkich swoich HTTP Ruch własne nagłówka HTTP. I że wygląd nagłówka jak this-- X-UIDH. UID jest jak wyjątkowa Identyfikator lub ID użytkownika. I X oznacza po prostu, że jest to zwyczaj header to nie jest norma. 

Ale co to znaczy jest to, że, jeśli podciągnąć, Na przykład, każda strona internetowa na mojej here-- telefonu i używam Verizon jak mój carrier-- mimo, że moja przeglądarka może nie wysyłać tego HTTP header, Verizon, tak szybko, jako sygnał osiąga swoje telefon wieży gdzieś, został na jakiś czas wstrzykiwania tego header do wszystkich naszych ruchu HTTP. Dlaczego to zrobić? Prawdopodobnie z powodu śledzenia, w celach reklamowych. 

Ale kretyński projekt decyzji jest to, że nagłówek HTTP, jak znacie z pset6, jest odbierany przez dowolny serwer WWW że jesteś prośbą ruch. Więc cały ten czas, jeśli odwiedzają już Facebook lub Gmail lub dowolnej strony internetowej że nie korzysta z SSL wszystkie time-- i rzeczywiście, ci, dwa szczęście teraz do-- ale inne strony internetowe, które nie używaj SSL przez cały czas, Verizon ma zasadniczo uprawą, siłą, Znaczek ręka na wszystkich naszych ręce, które jeszcze nie widzimy, ale raczej, że strony internetowe, na koniec zrobić. Tak że nie było to, że trudne dla każdego w internecie uruchomienie serwera WWW do sobie sprawę, och, to jest Dawid, lub, ooh, to Davin, nawet jeśli jesteśmy rygorystyczne o usunięciu plików cookie, dlatego, że nie idzie z nami. To pochodzące od przewoźnika. 

Robią wyszukiwania na numer telefonu a potem mówią, oh, to jest David. Pozwól mi wstrzyknąć tak unikalny identyfikator że nasi reklamodawcy lub kto może śledzić to. Więc to jest rzeczywiście bardzo, bardzo, bardzo złe i przerażające. A ja zachęcam do spójrz, na przykład, pod tym adresem URL, który mam zrzekają I rzeczywiście próbował to dziś rano. Napisałem mały skrypt, umieścić go pod tym adresem URL, odwiedził go z własnej Verizon telefon po włączeniu Wi-Fi wyłączone. Więc trzeba włączyć Wi-Fi, aby wyłączyć używasz 3G lub LTE lub podobne. A potem, jeśli wizyta ten adres URL, to wszystko skrypt nie dla was, jeśli chcesz grać, jest to wypluwa co nagłówków HTTP Twój telefon wysyła do naszego serwera. I rzeczywiście, w uczciwość, nie nie zobaczyć tego ranka, która kojarzy mi się albo lokalne Wieża telefon komórkowy podłączony do mnie lub cokolwiek nie robi, albo mam wycofał się w ten sposób tymczasowo. Ale aby uzyskać więcej informacji, udać się do tego adresu tutaj. 

A teraz do this-- to komiks może mieć sens. Nie? OK. Dobrze. Że umarł. Dobrze. 

Warto więc przyjrzeć się kilku więcej ataki, jeśli tylko w celu podniesienia świadomości i oferują kilka potencjalne rozwiązania tak, że jesteś bardziej uważny. Ten rozmawialiśmy o innych dzień, ale nie dał nazwę do niego. To wniosek krzyżowych fałszerstwo, które jest zbyt fantazyjny sposób na powiedzenie można nakłonić użytkownika do kliknięcia Adres URL w ten sposób, które ich sztuczki do jakiegoś zachowania, które że nie zamierzają. 

W tym przypadku, wydaje być próbuje mnie oszukać do sprzedaży swoich akcji Google. I to będzie sukces, jeśli Ja, programista pset7, nie zrobił tego, co? A raczej, bardziej ogólnie, w jakim przypadki, jestem podatny na atak jeśli ktoś inny użytkownik sztuczki do kliknięcia adresu URL takiego? Tak? 

Publiczność: Nie odróżnić GET i POST pomiędzy. 

David J. MALAN: Dobra. Jeśli nie rozróżniają GET i POST, między, i rzeczywiście, jeśli pozwolimy GET do sprzedaży rzeczy, my zapraszając tego rodzaju ataku. Ale możemy jeszcze złagodzić go nieco. I powiedział, myślę, w zeszłym tygodniu, że Amazon co najmniej stara się łagodzić to z techniki to całkiem proste. Co byłoby mądrą rzeczą zrobić się na serwerze, a nie tylko ślepo sprzedaży bez względu na symbol użytkownik wpisze? Publiczność: Potwierdzenie rodzaju? David J. MALAN: ekran potwierdzenia, coś obejmujących działania człowieka tak, że zmuszony jestem nawiązać połączenie wyroku, nawet jeśli ja naiwnie kliknięciu link, który wygląda tak i doprowadziło mnie do ekranu komórki, w najmniej poprosił mnie, aby potwierdzić lub zaprzeczyć. Niezbyt często, ale nie atak, szczególnie w tzw phishing lub spam-jak ataki. 

Teraz, ten jest trochę bardziej subtelny. To jest atak cross-site scripting. I to się dzieje, jeśli jesteś strona nie korzysta odpowiednik htmlspecialchars. I to biorąc wprowadzania danych przez użytkownika i po prostu ślepo wstrzykiwanie go do strony internetowej, jak z nadrukiem lub echo, with-- again-- się coś dzwoni jak htmlspecialchars. 

Więc załóżmy stronę w Pytanie jest vulnerable.com. I przypuszczam, że przyjmuje parametr o nazwie q. Spójrz na to, co może się zdarzyć Gdybym rzeczywiście, zły, wpisać lub nakłonić użytkownika do odwiedzając adres URL, który wygląda jak this-- q = otwarte tag script, zamknięty znacznik script. I znowu, jestem przy założeniu, że vulnerable.com nie jest okaże niebezpieczne Znaki takie jak otwarte nawiasach do podmiotów HTML, ampersand, L-T, średnik rzeczą że może nie widział. 

Ale co to jest skrypt lub kod JavaScript Staram się oszukać użytkownika do wykonania? Cóż, document.location odnosi do aktualnego adresu mojej przeglądarki. Więc jeśli ja document.location =, to pozwala mi przekierować użytkownika w JavaScript do innej strony internetowej. To jak nasz funkcji PHP przekierowanie, ale zrobić w JavaScript. 

Gdzie ja próbuje wysłać użytkownikowi? Cóż, najwyraźniej, badguy.com/log.php, Jest jakiś skrypt, który, zdaje się, zły facet napisał, że trwa parametr zwany cookies. 

I uwaga, co mam wydają się być złączenie na koniec tego znaku równości? Cóż, coś, mówi document.cookie. Nie rozmawialiśmy o tym. Ale okazuje się, w JavaScript, jak w PHP, można uzyskać dostęp do wszystkich plików cookie że Twoja przeglądarka jest rzeczywiście używany. 

Tak więc efekt ten linii kodu, jeśli użytkownik się nabrać na kliknięcie w ten link i strona vulnerable.com nie uciec z htmlspecialchars, jest to, że masz tylko skutecznie przesłane do log.php wszystkie swoje ciasteczka. A to, że nie zawsze jest to problematyczne, z wyjątkiem, jeśli jeden z tych plików cookie jest identyfikator sesji, twój tzw pieczęć strony, które Oznacza badguy.com może swój własny Żądania HTTP, wysyłanie tej samej ręki Znaczek, który sam nagłówek cookie i zaloguj się do jakiejkolwiek strony internetowej ty zwiedzanie, które w sprawa ta vulnerable.com. To cross-site scripting atak w sensie że jesteś rodzaju oszukiwanie do mówienia jednym miejscu inna strona o jakiejś informacji nie powinno bowiem mieć dostęp. 

W porządku, gotowe do jednego inne niepokojące szczegóły? Dobrze, że świat jest straszne miejsce, słusznie więc. Oto prosty Przykład JavaScript, który jest w dzisiejszym kodu źródłowego zwana geolokalizacja 0 i 1. I jest kilka solucje online za to. 

I to nie po Gdybym otworzyć stronę internetową w przeglądarce Chrome. Najpierw nic nie robi. OK, spróbujemy to jeszcze raz. Och. Nie, powinien coś zrobić. OK, stand by. 

Spróbujmy jeszcze raz. [Niesłyszalne] Ach, OK, nie wiem dlaczego the-- och, urządzenie prawdopodobnie stracił internet dostęp z jakiegoś powodu. Dobrze, tak się do mnie, też. 

W porządku, więc uwaga co tu się dzieje. Ten tajemniczy wyglądający adres URL, który jest tylko jednym z serwera CS50, chce korzystać z mojego komputera lokalizacja, jak fizycznie oznacza to. A jeśli rzeczywiście, klikam Pozwól, zobaczmy, co się stanie. Najwyraźniej jest to mój obecny szerokość i podłużne koordynuje dół do cholernie dobrej rozdzielczości. 

Więc jak ja się na to? W jaki sposób z tej strony internetowej, jak serwer CS50, wiedzieć fizycznie, gdzie na świecie Ja, nie mówiąc już o tym precyzją. Cóż, okazuje out-- niech tylko spojrzeć na source-- dla strony że tutaj jest kilka HTML na Dno, że pierwszy ma this-- onload ciała = "Podaj lokalizację geograficzną" - tylko funkcja napisałem. 

A ja mówię, na załadunek Strona, zadzwoń Podaj lokalizację geograficzną. I wtedy nie ma nic w ciele, ponieważ w nagłówku strony, zauważyć, co mam tutaj. Oto moja funkcja Podaj lokalizację geograficzną. A to jest po prostu jakiś błąd checking-- jeśli typ navigator.geolocation nie jest zdefiniowana. Więc JavaScript ma to Mechanizm, w którym może powiedzieć, co jest Typ tej zmiennej? A jeśli to nie undefined-- to znaczy, że pewne value-- Mam zamiar zadzwonić navigator.geolocation.getCurrentPosition a następnie callback. 

Co to jest? Tak więc w ogóle, co jest zwrotna, po prostu być jasne? Można napotkać to już w pset8. Callback jest rodzajowa określenie robi co? Czuje się jak tylko mnie dzisiaj. PUBLICZNOŚCI: [niesłyszalne]. David J. MALAN: Dokładnie, funkcja, która powinna być wywołana tylko wtedy, gdy mamy dane. To wezwanie do przeglądarki, dostać mój prąd pozycja, może przyjmować jedną milisekundę, Może to potrwać kilka minut. Oznacza to, że mówią Metoda get getCurrentPosition, nazywają tę funkcję zwrotną, które dosłownie nazwany zwrotna Dla uproszczenia, w którym najwyraźniej jest to jeden tutaj. 

I sposób getCurrentPosition działa po prostu czytając dokumentację z jakiegoś kodu JavaScript w Internecie, jest że wywołuje to, że tzw oddzwonienia Funkcja, przekazuje go do to obiekt JavaScript, wewnątrz którego jest .coords.latitude i .coords.longitude, który jest dokładnie, jak, to, kiedy przeładował tej strony, Udało mi się zobaczyć moją lokalizację tutaj. Teraz przynajmniej nie było tutaj obrona. Przed Odwiedziłem tę stronę, gdy faktycznie przepracowanych, co ja przynajmniej zapyta o? 

PUBLICZNOŚCI: [niesłyszalne]. 

David J. MALAN: Tak lub no-- zrobić Aby zezwolić lub zaprzeczyć? Ale myślę też o zwyczajach wy prawdopodobnie przyjęte, zarówno na swoich telefonów i przeglądarek. Wielu z nas, ja zawarte, są prawdopodobnie bardzo cię predyspozycje nich days-- pojawi się okienko pop-up, po prostu Enter, OK, zatwierdzanie, Zezwalaj. I coraz bardziej, można umieścić się na ryzyko tych powodów. 

Tak więc w rzeczywistości nie było to wspaniałe błąd kilka lat ago-- lub brak feature-- że iTunes był kilka lat temu, zgodnie z którym, jeśli miał telefon komórkowy, i to był iPhone i opuścił swój dom a więc podróżował po świecie lub sąsiedztwo, przez cały ten czas, Twój telefon został logowania gdzie jesteś za pomocą GPS. I to jest rzeczywiście ujawnione, a ludzie oczekują tego rodzaju teraz. Twój telefon wie, gdzie jesteś. Ale problemem było to, że, podczas tworzenia kopii zapasowej zostały telefon do iTunes-- to było przed dni iCloud, co jest na lepsze lub worse-- dane przechowywane w iTunes, całkowicie niezaszyfrowanej. Więc jeśli masz rodzinę lub współlokatorów lub złośliwy sąsiad, który jest ciekawi dosłownie każdym GPS koordynować kiedykolwiek byłem, On lub ona może po prostu usiąść w iTunes, uruchom niektóre programy, które było swobodnie i mapy dostępne, takie jak ten. produce 

W rzeczywistości jest to, co ja produkowane z własnego telefonu. Podłączyłem go. I wygląda na to, w oparciu na niebieskich kropek tam, to, gdzie większość były współrzędne GPS rejestrowane przez program iTunes, że tam było w północno-wschodniej. Ale najwyraźniej podróżował po nieco, nawet w stanie Massachusetts. 

Więc to Boston Harbor tam z prawej strony. To rodzaj Cambridge Boston, gdzie jest najciemniej. I od czasu do czasu, by uruchomić sprawunki do większej geografii. 

Ale iTunes, od lat miał, jak najlepiej Mógłbym powiedzieć, wszystkie te dane na mnie. Można powiedzieć, że w tym roku, to był rzeczywiście wiele podróży między Bostonie i Nowym Jorku, tam iz powrotem i tam iz powrotem. I rzeczywiście, to mnie na Amtrak, z powrotem iz powrotem, tam iz powrotem, trochę. Wszystko to i był zalogowany przechowywane w postaci zaszyfrowanej na moim komputerze dla każdego, kto może mieć dostęp do mojego komputera. 

To było niepokojące. Nie wiedziałem, dlaczego jestem w Pensylwanii i dlaczego mój telefon był w stanie Pensylwania, najwyraźniej dość gęsto. A potem, w końcu, spojrzałem w moim Gcal i, och, odwiedził CMU, Carnegie Mellon w czasie. A fuj, tego rodzaju wyjaśnił, że blip. A potem, jeśli powiększyć się dalej, można zobacz odwiedziłem San Francisco jeden lub więcej razy, a następnie, i nawet mieliśmy postój w co Myślę, że to Vegas, tam na dole. Więc wszystkie this-- tylko postój na lotnisku. 

PUBLICZNOŚCI: [śmiech] 

Więc jest to tylko powiedzieć, że te problemy, szczerze mówiąc, są wszechobecne. I to tylko czuje coraz bardziej podoba tam bardziej związanego z tym ujawniono która jest chyba dobrze. Śmiem twierdzić, że świat nie jest coraz gorzej w pisania oprogramowania. Jesteśmy coraz lepiej, miejmy nadzieję, na zauważenie jak źle jakieś oprogramowanie jest to, że używamy. I na szczęście, niektóre Firmy zaczynają być pociągnięty do odpowiedzialności za to. 

Ale jakie rodzaje obrony może masz na myśli? Więc oprócz menedżerów haseł, jak 1Password i LastPass i innych, poza tym po prostu zmieniając swoje hasła i wymyślanie tych losowych jak za pomocą oprogramowania że można również spróbować najlepiej jak potrafisz do szyfrowania wszystkie z ruchu przynajmniej zawęzić strefę zagrożenia. Tak więc, na przykład, jako filii Uniwersytetu Harvarda, wszystko można przejść do vpn.harvard.edu i zaloguj się za pomocą swojego identyfikatora Harvarda i PIN. A to stworzy bezpieczny połączenie pomiędzy tobą i Harvardzie. 

Teraz, że nie musi chronić przed wszelkimi zagrożeniami, które są między Harvard Harvard i Facebook lub i Gmail. Ale jeśli siedzisz na lotnisku lub jesteś siedzi w Starbucks lub jesteś siedzi na miejscu kolegi, i naprawdę nie ich lub ich zaufanie konfiguracja ich routera do domu, przynajmniej można ustanowić bezpieczne połączenie do podmiotu, jak to miejsce, które jest chyba trochę lepiej zabezpieczone niż coś takiego Starbucks lub podobne. I co to robi jest stwierdzi, znowu, szyfrowanie między tobą i punktu końcowego. 

Nawet hodowcy są takie rzeczy. Tak więc niektórzy z was mógłby już zapoznać się z Torem, co jest tego rodzaju anonimizacji Sieć, w której wiele osób, jeśli biegają to oprogramowanie, trasa następnie ich www ruch przez siebie. Tak więc punkt jest najkrótsza nie między A i B. Ale to może być w całym umieścić tak, że jesteś w istocie pokrycie swoich utworów i pozostawiając mniej od rekordu, aby gdzie HTTP ruchu pochodzi, bo to będzie przez całą masę innych ludzi laptopów lub komputerów stacjonarnych, na lepsze lub na gorsze. 

Ale nawet to nie jest murowany rzeczą. Niektórzy z was mogą przypomnieć sobie w zeszłym roku przestraszyć bomba, który został wezwany. I dotarli ostatecznie do Użytkownik, który użył tej sieci tutaj. I tam złapać, o ile pamiętam, to, jeśli nie są, że wiele innych osób za pomocą oprogramowania takiego lub za pomocą tego portu i protokołu, to nie jest takie trudne do sieci nawet dowiedzieć się, kto, z pewnym prawdopodobieństwem, anonimizującej był w rzeczywistości jego lub jej ruchem. 

A ja nie wiem, czy to były rzeczywiste dane, o których mowa. Ale na pewno, uświadomić sobie, że żaden z to murowany rozwiązania, jak również. A celem dzisiaj jest najmniej Ci myśleć o tych rzeczach i zbliża się z technikami broniąc się przed nimi. Wszelkie pytania dotyczące wszystkich zagrożeń że czekają tam, i tu? Tak? Odbiorcy: Jak bezpiecznie robić spodziewamy się, że średnio [? Strona internetowa jest,?] jak Średni projekt CS50? 

David J. MALAN: Średni projekt CS50? To jest zawsze co roku, które okazały się niektóre ostateczne projekty CS50 nie są szczególnie bezpieczne. Zazwyczaj jest to kilka lub współlokatora hallmate na to uwagę, że dane poprzez wysłanie żądania do swojego projektu. 

Krótki answer-- ile strony internetowe są bezpieczne? Ja czepiam dzisiaj anomalii. Jak to był tylko zbieg zdałem sobie sprawę, że tej stronie Byłem szczerze one zamawiania pyszne ustalenia from-- i nie jestem pewien, będę przestać używać swojej stronie internetowej; Może po prostu zmienić mój Hasło więcej regularly-- Nie jest jasne, jak podatne wszystko various-- to jest rzeczywiście pokrytych czekoladą. Krótka odpowiedź, nie mogę odpowiedzieć na to pytanie skutecznie, inne niż to powiedzieć nie było dla mnie trudne do znaleźć niektóre z tych przykładów wystarczy dla dobra dyskusji w wykładzie. I tak na oko Google News i innych zasobów przyniesie wszystkim więcej tego typu rzeczy na światło. 

W porządku, niech zawrzeć z tego prequel że zespół CS50 przygotowało dla Ciebie w oczekiwaniu na CS50 Hackathon. I na swój sposób w Moment, owoce serwowane. [ODTWARZANIE] [MUZYKA Fergie Q TIP I GOONROCK " Małe przyjęcie nigdy nie zabijał nikt (ALL Dostaliśmy) "] 

- [Chrapanie] [KONIEC ODTWARZANIE] David J. MALAN: To wszystko na CS50. Do zobaczenia w środę. [MUZYKA - Skrillex "Imma" wypróbować "]