DAVID J. MALAN: Acest lucru este CS50, și acesta este începutul săptămânii 10. Aveți dreptul să amintesc că le-am arătat pe ecran o imprimantă 3D, care este acest dispozitiv care ia bobine de plastic și apoi se extrudează prin încălzirea sa în sus și topire astfel încât să putem atunci forma armata Chang a elefanți, de exemplu. Deci, la Leverett House, deși, recent, am a fost pe chat cu unul dintre dumneavoastră colegii de clasă și un prieten de-al lui Chang pe nume Michelle, care de fapt internat la această altă companie anul trecut, care are o tehnică diferită de fapt, crearea de obiecte tridimensionale, ca acest mic elefant mic aici. În special, modul în care aceasta funcționează este faptul că este un exemplu de ceva numit stereolitografie, prin care nu există acest bazin de rășină sau lichid, și apoi un laser lovește ca lichid, și, treptat, dispozitivul ascensoare si ascensoare si lifturi lucru că sunteți de imprimare, cum ar fi un elefant, ca și lichid devine solid. Iar rezultatul, de fapt, este ceva care este mult mai robust decât unii dintre plasticul cadouri unii dintre voi ar fi putut avea. Și ce Chang amabilitate a făcut pentru noi, aici a fost a facut un time-lapse, folosind fotografii pe parcursul unei ore sau mai mult, probabil, pentru a produce acest tip de aici. Ar fi cineva care nu a mai venit înainte Vrei să vină lovit Start de pe acest videoclip? Lasă-mă să merg cu, ce zici de acolo. Haide sus. Bine. Și tu ești? Luca: Numele meu este Luca [inaudibil]. DAVID J. MALAN: Salut, Luke. Mă bucur să te cunosc. Luca: Mă bucur să te cunosc. Audiența: E de funcționare pentru UC. DAVID J. MALAN: Știu, noi încercăm să nu promoveze. În regulă, deci Luke, toate ce trebuie să faci aici, în CS50 este lovit bara de spațiu pentru a imprima acest elefant. [VIDEO PLAYBACK] - [MACHINE zbârnâit] - [CRASH] - [BOOM] - [CRASH] [END VIDEO PLAYBACK] DAVID J. MALAN: Deci, care este exact cum e la imprimare 3D. Și aici este elefant ta. Mulțumesc pentru voluntariat. Bine. Deci, din nou, pe caietul de sarcini pentru proiectul final, acest hardware care este disponibil pentru voi este, din anumite motive, proiectul tău are ceva intersecție de software și hardware, dau seama că acestea sunt acum resurse. Am vrut să ia un moment pentru a atinge la un articol Crimson care a ieșit noaptea trecuta, care a fost la anunța că acest coleg de aici, David Johnson, care a fost seniori preceptor pentru Ec 10 de ceva timp, părăsește Harvard, la sfârșitul anului universitar. Și am vrut doar să să ia o clipă, sincer, să-i mulțumesc lui David în fața CS50. A fost un mentor de felul pentru a ne de-a lungul anilor. Și mă simt ca și cum ne-am, CS50, au mai degrabă crescut cu Ec 10 aici, deoarece ele sunt chiar în fața noastră. Și el și toată echipa de la Ec 10 are a fost minunat plin de har, sincer, așa cum ne-am lug în toate echipamentele noastre fiecare săptămână, și ani în urmă, a furnizat o mare de sfat cum am fost curios cu privire la modul în care acestea funcționează Ec 10. Deci, mulțumirile noastre și admirație pentru David Johnson. [Aplauze] Acum, unrelatedly, așa la sfârșitul anului este într-adevăr aproape. Suntem aici în săptămâna 10. Și avem doar doar un câteva săptămâni oficiale aici în clasa a plecat, urmat de un cuplu de evenimente. Deci, pentru a vă oferi un sentiment de ceea ce este la orizont, aici suntem azi. Acest miercuri, rechemare, vom avea o prelegere oaspete de nimeni altul decât Microsoft propriu Steve Ballmer. Dacă încă nu ați plecat la cs50.harvard.edu/register, face acest lucru, deoarece spațiul va fi limitat. Și ei vor fi verificare ID-uri de la ușa astăzi. În cazul în care nu au fost aici Săptămâna trecută, m-am gândit ai șicana cu un aspect diferit la Steve și emoție că ne așteaptă miercuri. [VIDEO PLAYBACK] -Passion. -Suntem Va fi hardcore-- hardcore. -Innovator. -Bill Spus, tu nu înțelegi. Mergem la încearcă o calculator pe fiecare birou și în fiecare casă, care a devenit motto-ul pentru companie. Jur, Bill a inventat în acea noapte pentru a se obține într-adevăr ma o parte din viziunea de ce ar trebui să spun da. N-am mai uitat înapoi, într-adevăr, după aceea. -Fresh Din colegiu, el s-au alăturat o pornire tinerei și a ajutat să crească într-una din America cele mai multe afaceri de succes din toate timpurile. Durata de viață a și de afaceri lecții învățate de-a lungul calea lasa-l înapoi la lui pasiune din copilărie și dragoste. Și aceste experiențe au pregătit l pentru următoarea provocare în viață. -Nimic Nu ajunge în boom-ul nostru way--! Continua sa vina hardcore! Du-te Clippers! -Asta Este Steve Ballmer, "În cuvintele mele proprii." [END VIDEO PLAYBACK] DAVID J. MALAN: --this Miercuri la CS50. Cap din nou la această adresă URL aici. În ceea ce pentru ce altceva este la orizont, săptămâna viitoare, nu prelegere luni. Dar vom urmări ca de test o miercuri. Du-te la pagina CS50 pentru detalii pe oameni, locuri, și ori pentru toate diferite proctoring logistică și altele asemenea, precum și despre recenzie sesiuni care se afla viitoare. Și apoi, în cele din urmă, luni, a doua zi inainte de saptamana de Ziua Recunostintei pauză, dat seama că va fi prelegere nostru final. Vom servi tort și o mare afacere de emoție, sperăm. Acum, o pereche de alte actualizări. Țineți minte că statutul de Raportul, care este de fapt doar menit să fie o interacțiune informală cu TF ta să se afirme cu mândrie doar cât de departe împreună cu dumneavoastră final al proiectului ești, sau cel puțin ca un bun-simț la verificați că ar trebui se apropie de cea litera scurt timp după aceea. Hackathon urmează atunci că. Dau seama Hackathon Nu este o oportunitate pentru a începe proiectul final, dar este menit să fie o oportunitate să fie în mijlocul sau spre la sfârșitul proiectului final, cu punerea în aplicare din cauza unei câteva zile mai târziu, urmat de târg CS50. Acum, producția CS50 lui echipa, în urmă cu câțiva ani, pune împreună un teaser pentru târgul CS50 pe care le -am gândit să vă arăt astăzi, pentru că au fost greu la locul de muncă pe un prequel pentru care, un videoclip nou că vom încheia astăzi cu. Dar aici e ceea ce vă așteaptă pentru CS50 târg din acest an. [VIDEO PLAYBACK] - [CELL telefon care suna] [MUSIC "temă din Mission: Impossible"] [END VIDEO PLAYBACK] DAVID J. MALAN: Deci, care este exact cum închidem observațiile finale ale proiectului. Un cuplu de acum teasers-- în cazul în care doriți să se alăture Nick aici pentru masa de prânz, ca de obicei, acest lucru Vineri, cap la această adresă URL aici. Mai mult decât atât, dacă doriți să se alăture Nick sau această Nick sau acest Allison sau orice membrii echipei CS50 lui, și dau seama că, în scurt timp după sfârșitul mandat al lui, CS50 vor fi deja de recrutare pentru echipa de anul viitor, pentru AC, TFS, designeri, producători, cercetători, și alte poziții că aici funcționa CS50, atât în fața și în spatele scenei. Deci, în cazul în care acest lucru ar putea fi de interes pentru tine, cap la această adresă URL aici. Și studenții mai confortabile, mai puțin confortabil, și undeva în între deopotrivă sunt toate de bun venit și încurajate să aplice. Deci, a fost o sincronizare perfectă că, cel glumă, în această dimineață, când m-am trezit, Am avut asta aici de spam în cutia mea poștală. Este de fapt a alunecat prin filtru de spam Gmail într-un fel și a ajuns în cutia mea poștală actuale. Și se spune, "Dear cutie poștală utilizator, ești în prezent actualizat la 4 gigaocteți de spațiu. Vă rugăm să vă conectați la contul dvs. în scopul de a valida de e-spațiu. " Și apoi există această albastru frumos link ispititor acolo să faceți clic pe pentru facultate si de personal, care apoi ma condus la o pagină minunat legitim, care mi-a cerut să le dau numele meu și adresa de e-mail și, desigur, parola pentru a valida cine sunt eu și așa mai departe. Dar, desigur, așa cum este întotdeauna cazul, ai ajuns la această pagină de destinație, și, desigur, nu e cel puțin o greșeală de scriere, care pare a fi unghie sicriul de oricare dintre aceste escrocherii. Și vom posta, probabil, un alt link-uri către aceste tipuri de capturi de ecran în viitor. Dar sperăm că, cei mai mulți oameni din această cameră nu au clicked-- sau chiar dacă ați făcut clic Link-uri cum ar fi acest lucru, nu au mers atât de departe încât să completați aceste formulare și așa mai departe. De fapt, e în regulă, dacă aveți. Vom încerca să stabilească faptul că astăzi, pentru că, într-adevăr, conversație de astăzi este despre securitate. Și într-adevăr, una dintre cele mai obiective de CS50 nu este atât de mult să te învețe CE sau PHP sau JavaScript sau SQL sau oricare dintre acestea subiacente Detalii de implementare. Dar e la tine imputernici ca oameni pentru a face doar decizii mai inteligente ca aceasta se referă la tehnologia jos rutier, astfel încât, dacă ești un inginer sau umanist sau om de stiinta sau orice alt rol, te iau decizii în cunoștință de cauză cu privire la modul de utilizare de calcul propriu, sau dacă sunteți într-o Poziția de luare a deciziilor, în politică, în special, faci mult, decizii mult mai bune decât o mulțime de oameni astăzi au fost. Și vom face acest lucru prin mod de câteva exemple. În primul rând, am fost destul de surprins recent a descoperi următoarele. Deci, parole, desigur, sunt ceea ce majoritatea dintre noi utilizați pentru a proteja e-mailul nostru data--, chat-ul, și tot felul de resurse de genul asta. Și doar prin faptul că nu o awkward-- arată de mâini, dar arata jenat de rușine, cati dintre voi folosiți aceeași parolă într-o mulțime de site-uri diferite? Oh, OK, deci vom face mâinile. OK, deci o multime de faci. Orice persoană care face acest lucru, pur și simplu de ce? Și ce? Da? Audiența: Este ușor de ținut minte, pentru că nu trebuie să vă amintiți [inaudibil]. DAVID J. MALAN: Da, E ușor să vă amintiți. E un perfect rezonabil, comportament rațional, chiar dacă riscul tu te inscrie la, în aceste cazuri este doar una sau mai multe dintre aceste site-uri este vulnerabil la hacking sau la nesigur sau parola e doar al naibii de guessable, oricine poate da seama. Nu numai ca este un singur cont compromis, dar în teorie, orice conturi aveti pe internet. Deci, eu știu că s-ar putea spune astăzi, nu face folosiți aceeași parolă peste tot, dar asta e mult mai ușor de zis decât de făcut. Dar există tehnici pentru diminuarea că o preocupare specială. Acum, eu întâmpla, de exemplu, pentru a utilizați un program numit 1Password. Un alt unul de popular este numit LastPass. Și o grămadă de utilizare CS50 personal unul sau mai multe dintre aceste tipuri de instrumente. Și poveste lungă scurt, un Takeaway pentru ziua de azi ar trebui să fie, da, este posibil să aveți aceeași parolă peste tot, dar este foarte usor sa nu mai faci asta. De exemplu, în aceste zile, eu știu Poate una dintre zeci sau sute mele de parole. Toate celelalte parole mele sunt pseudo-aleator generate de unul dintre aceste programe aici. Și într-o coajă de nucă, și chiar deși cele mai multe dintre aceste programe au tendința de a veni cu ceva un cost, v-ar instala un program de acest fel, v-ar păstra, atunci toate numele de utilizator și parolele în interiorul acestui program pe propriul Mac sau PC-ul sau fleacuri, și atunci ar fi criptat pe computer cu ceea ce este, sperăm, un parola deosebit de lungă. Deci, am o grămadă de parolele pentru site-urile individuale, și apoi am un adevărat parola de mult că am utilizați pentru a debloca toate aceste alte parole. Și ce e frumos despre software-ul ca acest lucru este că, atunci când vizitați un site web care este solicită numele de utilizator și parola, aceste zile, eu nu tastați în numele de utilizator și parola, pentru că, din nou, eu nici măcar nu știu ce cele mai multe dintre parolele mele sunt. Am lovit în schimb o tastatură comandă rapidă, al cărei rezultat este de a declanșa acest software pentru a mi cere parola de master. Apoi m-am tip să rețină mare parolă în, și apoi browser completează automat în ce parola este. Deci, într-adevăr, dacă luați nimic altceva departe de astăzi în termeni de parole, acestea sunt produse software care sunt în valoare de descărcarea sau de a investi în astfel pe care le poti cel putin pauză că obiceiul special. Si daca esti tipul de care este folosind post-it-uri sau like-- și cote de pariuri sunt cel puțin unul dintre voi este-- că obicei, de asemenea, suficient să spunem, ar trebui să fie rupt. Acum, sa întâmplat să descoperi, ca urmare a de utilizarea software-ului, cu următorul text. Am fost prin care se dispune un acord comestibile, acest coș de fructe, recent. Și am lovit tastatura mea de construcții comenzi rapide pentru a vă conecta la site-ul web. Și software-ul a declanșat o pop-up care a spus, ești sigur Vrei să automat să prezinte acest nume de utilizator și parolă? Deoarece conexiunea este nesigur. Conexiunea nu este folosind HTTPS, pentru securizată, folosind acest protocol cunoscut sub numele de SSL, Secure Sockets Layer. Și într-adevăr, dacă te uiți la în partea de sus stânga a acestui site, e doar www.ediblearrangements.com, Nu HTTPS, care nu este atât de bun. Acum, am fost curioasă, poate, acest este doar un bug in software-ul. Cu siguranță, unele site-ul cum ar fi aceasta că o mulțime de ne spui de este cel puțin utilizând criptarea sau HTTPS URL-uri pentru a te autentifica. Așa că am luat un pic curios în această dimineață. Și am ieșit abilitățile mele CS50, Am deschis Chrome Inspector. Nu e chiar de mult de o calificare. E doar a lovit tastatură scurtătură pentru a deschide asta. Și aici este o fereastră mare de Inspector Chrome. Dar ceea ce a fost de fapt o puțin tragic și ridicol au fost aceste două linii de aici. În partea de sus, observa URL-ul pentru a care numele de utilizator și parola au fost depuse. Lasă-mă să mări. Acesta a fost aici. Și toate acestea sunt un fel de neinteresant, cu excepția lucru tot drumul la stânga, care începe cu http: //. Și așa, atunci, OK, poate acestea sunt doar trimiterea numele meu de utilizator, ceea ce este nu o astfel de afacere mare. Poate că parola este trimis mai târziu. Asta ar fi un fel de decizie design interesant. Dar nope. Dacă atunci te uiți la cererea sarcină utilă, numele de utilizator și parola Am sent-- și am bătut joc acestea pentru slide-- S-au trimis de fapt în clar. Deci, te duci la acest site special și obligarea un acord comestibile de acest fel, și într-adevăr, se pare că, pentru toate acestea timp am fost comanda de la ei, numele de utilizator și parola se întâmplă peste în clar. Deci, sincer, acest lucru este complet inacceptabil. Și este atât de banal pentru a evita lucruri ca acest lucru ca proiectantul unui site web și ca programator a unui site web. Dar Takeaway aici pentru noi, ca utilizatori ai site-uri este doar pentru a aprecia că toate aceasta ia este pentru un singur design prost decizie, decizie de design nejustificată, astfel că acum, dacă știți parola este "Crimson" de pe această site-ul, ai probabil tocmai am primit într-o grămadă de alte site-uri pe care le am acum. Și nu e mult de o apărare împotriva altele decât ceea ce a făcut Chang în această dimineață. El a mers la Aranjamente comestibile, care este situat pe strada din Cambridge, si-a cumparat fizic acest lucru pentru noi. Asta a fost cu mult mai sigure decât utilizarea site-ului în acest caz. Dar detaliile pentru a păstra un ochi pentru este, de fapt ce e în browser-ul în sus partea de sus acolo. Dar chiar și asta poate fi un pic înșelătoare. Deci, un alt interesant exemplu și mod de apărare împotriva astea-- și de fapt, să nu că first-- modul de a apăra împotriva acestei este o tehnică că oamenii de securitate ar fi apel autentificarea cu doi factori. Stie cineva ce soluția la probleme cum ar fi acest lucru înseamnă? Ce este autentificarea cu doi factori? Sau, altfel spus, cât de multi dintre voi se folosesc? OK, deci un cuplu de oameni timizi. Dar da. Am văzut mâna merge în sus. Ce este autentificarea cu doi factori? Audiența: Practic, in plus să tastați în parola, aveți, de asemenea, un secundar [inaudibil] trimise prin mesaj text pe telefonul dvs. la [neauzit]. DAVID J. MALAN: Exact. În plus față de unele forme primare de autentificare, cum ar fi o parolă, vi se va cere un secundar factor, care este de obicei ceva ce trebuie fizic pe tine, deși poate fi cu totul altceva. Și chestia aia este de obicei o telefon mobil în aceste zile la care te a trimis un mesaj de tip text temporară care spune "Codul adversari temporar este 12345." Deci, în plus față de meu parolă "roșu", am, de asemenea, Trebuie să tastați în orice site-ul mi-a trimis mesaj. Sau, dacă aveți acest lucru cu un bancar sau un cont de investiții, aveți uneori avea aceste dongles mici, care de fapt, au o pseudo-aleatoare Generator de serie construit în ele, dar atât dispozitivul și banca Știi ce sămânța ta inițială este de astfel încât aceștia să știe, chiar ca mic cod pe mica ta fob cheie marșuri înainte de fiecare minut sau două valori în schimbare, la fel încât schimbările de valoare pe serverul băncii astfel încât să poată autentifica similar tu, nu numai cu parola, dar cu acest cod temporar. Acum, puteți face de fapt acest lucru în Google. Și sincer, aceasta este o bun obicei de a intra, mai ales dacă utilizați Gmail tot timpul pe un browser. Dacă te duci la această adresă URL aici, care este în lamele on-line pentru ziua de azi, și apoi apăsați pe 2-Step de verificare, același lucru efectiv acolo. Vi se va solicita pentru a se obține le numărul dvs. de telefon mobil. Și apoi, de fiecare dată când vă conectați la Gmail, veți fi întrebat nu numai pentru parola, dar, de asemenea, pentru o mic cod care este trimis către telefonul dvs. temporar. Și atâta timp cât ați activat cookie-uri, și atâta timp cât tu nu în mod explicit log out, veți avea doar pentru a face acest lucru din cand in cand, ca atunci când stai jos la un calculator nou. Și în sensul creșterii aici, de asemenea, este, dacă stai jos la un stil cafe internet calculator sau pur și simplu o calculator prieten, chiar în cazul în care prietenul rea-credință sau în necunoștință are ceva tastatură logger instalat pe calculatorul lui sau ei, astfel că tot Tipul este conectat, cel puțin că al doilea factor, care cod temporar, este efemer. Deci, el sau ea sau oricine e compromisă calculatorul nu se poate conecta la tine, ulterior, chiar dacă totul altceva a fost vulnerabil sau chiar necriptat totul. Facebook are acest lucru, de asemenea, cu acea adresă URL aici, în cazul în care puteți să faceți clic pe Autentificare Aprobări. Deci, aici, de asemenea, dacă nu doresc prieteni a scormoni oameni, nu vrei să fie bagi pe Facebook sau publicarea unor actualizări de stare pentru tine, autentificare cu doi factori aici este, probabil, un lucru bun. Și apoi există această alte tehnici cu totul, doar de audit, care este chiar un lucru bun pentru noi, oamenii, dacă doi factori se dovedește enervant, care, desigur, se poate, sau nu este vorba doar disponibil pe unele site-ul, minim păstrând un ochi pe dacă și când te logare în site-uri, în cazul în care permiteți, este o tehnica buna, de asemenea. Deci, Facebook, de asemenea, vă oferă acest notificările de autentificare sunt dotate cu, prin care oricând Facebook își dă seama, hm, David are conectat la unele calculator sau telefon că nu am mai văzut până acum de la o adresă IP care arata nefamiliare, te vor trimite cel puțin un e-mail la orice adresa de e-mail aveți la dosar, spunând: face acest lucru părea suspect? Dacă este așa, schimbați imediat parola. Și astfel încât nu există, de asemenea, doar comportamentul de audit chiar și după ce ai fost compromisă, poate cel puțin restrange fereastra timpul care vă sunt vulnerabile. În regulă, orice întrebări pe chestia asta până acum? Astăzi este ziua pentru a obține toate paranoia ta confirmat sau negat. Asta e cea mai mare parte confirmate, din păcate. Da? Audiența: [inaudibil] telefon, Ce se întâmplă dacă pauze de telefon, și apoi este întotdeauna greu de verify-- DAVID J. MALAN: Adevărat. Audiența: Sau, dacă sunteți într-un alt țară, iar ei nu te lăsa LOGIN că [inaudibil]. DAVID J. MALAN: Absolut. Și astfel acestea sunt adițional Costurile pe care le suporta. Există întotdeauna această temă de un compromis, la urma urmei. Și apoi, dacă vă pierdeți telefonul, dacă se rupe, dacă ești în străinătate, sau pur si simplu nu au o semnal, ca un 3G sau LTE semnal, nu s-ar putea de fapt putea autentifica. Deci, din nou, aceste două sunt compromisuri. Și, uneori, se poate crea o mult de lucru pentru tine, ca un rezultat. Dar depinde într-adevăr, atunci, pe ceea ce prețul de așteptat să vă este de ceva fiinta compromis cu totul. Deci, SSL, atunci, este această tehnică care vom lua toate, în general, de la sine sau își asumă este acolo, chiar dacă nu e clar cazul. Și tu poți încă induce în eroare oameni, deși, chiar și cu acest lucru. Deci, aici este un exemplu al unei bănci. Acest lucru este Bank of America. Există o grămadă de acestea în Harvard Square și dincolo. Și observați că, la foarte de sus a ecran, există o, într-adevăr, HTTPS. Și e chiar verde și a subliniat pentru noi pentru a indica faptul că aceasta este într-adevăr un site legitim sigur, sau așa am fost antrenați să creadă. Acum, în afară de faptul că, deși, observă că, dacă vom mări, nu e chestia asta aici, în cazul în care vi se solicită să vă conectați. Ce înseamnă acest lacăt înseamnă drept acolo, alături de numele meu de utilizator solicita? Acest lucru este destul de comună pe site-uri web, de asemenea. Ce înseamnă acest lucru lacăt? Se pare ca stii. Audiența: Nu înseamnă nimic. DAVID J. MALAN: A nu înseamnă nimic. Aceasta înseamnă că Bank of America știe cum pentru a scrie HTML cu tag-uri de imagine, nu? Aceasta înseamnă cu adevărat nimic, pentru că chiar noi, folosind în prima zi de look noastre la HTML, se poate codifica o pagină cu un fundal roșu și o imagine, ca un GIF sau fleacuri, care se întâmplă să arate ca un lacăt. Și totuși, acest lucru este super comun în site-uri web, pentru că am fost instruiți să-și asume că, oh, lacăt înseamnă sigure, atunci când într-adevăr înseamnă doar știi HTML. De exemplu, înapoi în a doua zi, am putut tocmai au pus acest lucru pe site-ul meu, susținând că este sigur, și cere, în mod eficient, pentru numele de utilizator și parolele oamenilor. Deci, caută în URL-ul este cel puțin un indiciu mai bun, pentru că este construit în Chrome sau orice browser-ul pe care îl utilizați. Dar chiar și atunci, uneori, lucrurile pot merge prost. Și, de fapt, nu s-ar putea întotdeauna a se vedea HTTPS, să nu mai vorbim în verde. Ai oricare dintre voi vreodată văzut un ecran ca asta? S-ar putea avea, de fapt, mai devreme în luna octombrie, atunci când am uitat să plătească pentru noastre Certificat SSL, așa cum este numit, și am fost sa arate ca acest lucru pentru o oră sau două. Deci, ați văzut, probabil, lucruri ca aceasta, cu un șut-through, ca o linie roșie, prin protocolul în URL-ul sau un fel de ecran care este cel puțin ai admonesta pentru încercarea de a trece mai departe. Și Google aici este invitat să te întorci la siguranță. Acum, în acest caz, aceasta doar a însemnat că certificatul SSL care am fost folosind, numerele mari, matematic utile care sunt asociate cu serverul CS50 lui, nu mai erau valabile. Și, de fapt, putem simula aceasta, după cum puteți pe laptop-ul. Dacă mă duc în Chrome aici, și să mergem la facebook.com, si se pare ca acest lucru este sigur. Dar lasă-mă să merg mai departe acum și click pe lacătul aici. Și lasă-mă să merg la conectare, Informații certificat. Și într-adevăr, ceea ce veți a se vedea aici este o adunătură de detalii de nivel inferior cu privire la care facebook.com este într-adevăr. Se pare că au plătit bani pentru a o companie numita poate DigiCert ridicat Asigurare care a promis pentru a spune restul lumii că, în cazul în care un browser vede vreodată un certificate-- vă puteți gândi de ea literalmente ca un certificat care Se pare ca acel lucru ieftin la partea de sus left-- atunci facebook.com este cine spun ei ele sunt, pentru că în tot acest timp, când vizitați un site Web, cum ar fi cs50.harvard.edu sau facebook.com sau gmail.com care utilizează HTTPS URL-uri, în spatele scenei, nu există acest tip de tranzacție întâmplă în mod automat pentru tine, prin care facebook.com, în acest caz, este de a trimite la browser-ul dvs. sa așa-numitul certificat SSL, sau, mai degrabă, cheia sa publică, și apoi browser-ul dvs. Se utilizează cheia publică pentru a trimite ulterior criptate trafic la și de la ea. Dar există toată această ierarhie în lumea de companii care veți plăti bani la care va apoi depune mărturie, într-un sens digitală, că sunteți într-adevăr facebook.com sau server-ul dvs. este într-adevăr cs50.harvard.edu. Și construit în browsere, cum ar fi Chrome și IE și Firefox, este o listă a tuturor celor așa-numitele autorități de certificare care sunt autorizate de către Microsoft și Google și Mozilla pentru a confirma sau nega că facebook.com este cine spune că este. Dar captura este că aceste lucruri expiră. De fapt, Facebook pare aceasta expiră în luna octombrie, în 2015. Deci, putem simula de fapt, asta dacă am du-te la Mac-ul meu la System Preferences mele, și mă duc în Data și ora, precum și Mă duc în Data și ora aici, și eu debloca această here-- fericire, nu am evidențiat o parolă această time-- și acum mă duc în jos pentru a debifați această. Și să actually-- Oops, asta e nu la fel de interesant ca face acest lucru. Suntem literalmente în viitor acum, ceea ce înseamnă că aceasta este ceea ce 2020 este ca. Dacă aș reincarca acum page-- hai să o facem în Ingognito mode-- dacă am reîncărca pagina, acolo mergem. Deci, acum, calculatorul meu crede e 2020, dar browser-ul meu știe că acest certificat de la Facebook aprovizionare, desigur, în 2015. Așa că să-mi dea acest mesaj roșu. Acum, din fericire, browsere cum ar fi Chrome avea de fapt a făcut-o destul de greu să continua cu toate acestea. Ei doresc într-adevăr mă pentru a merge înapoi la siguranță. Dacă aș click aici pe Advance, e O să-mi spui mai multe detalii. Și dacă vreau cu adevărat pentru a continua, vor lăsa mă să merg la facebook.com, care este, din nou, nesigur, moment în care Voi vedea ca pagină de Facebook, ca aceasta. Dar apoi alte lucruri par a fi de rupere. Ce se va sparge, probabil, în acest moment? Audiența: JavaScript. DAVID J. MALAN: Ca JavaScripts și / sau CSS Fișierele sunt la fel se confruntă cu această eroare. Deci, aceasta este doar o situație proastă în ansamblu. Dar punctul de aici este aceea că cel puțin Facebook într-adevăr are SSL activat pentru serverele lor, cat mai multe site-uri web, face, dar nu neapărat toate. Dar asta nu e numai Takeaway aici. Se pare că, chiar SSL a fost demonstrată ca fiind nesigure într-un fel. Deci, eu sunt un fel de aluzie că SSL, bine. Uita-te pentru HTTPS URL-uri, și viața este bun, pentru că toate traficul HTTP și antetele și de conținut este criptată. Nimeni nu poate intercepta în mijloc, cu excepția așa-zisul om în mijloc. Aceasta este o tehnică generală în lumea de securitate cunoscut ca un atac om-in-the-middle. Să presupunem că ești acest mic laptop pe aici pe stânga, și să presupunem că încercați să îl accesați un server de acolo pe dreapta, ca facebook.com. Dar să presupunem că, în între tine și Facebook, este o grămadă de alte servere și Utilaje, cum ar fi switch-uri si routere, Servere DNS, DHCP, dintre care niciunul nu putem controla. S-ar putea fi controlată de Starbucks sau Harvard sau Comcast sau altele asemenea. Ei bine, să presupunem că cineva cu răutate, în rețea, în între tine și Facebook, este în măsură să-ți spun că, știi ce, adresa IP a Facebook nu este ceea ce crezi tu că este. Este acest IP in loc. Și astfel browser-ul dvs. este păcălit în care solicită traficul de la un alt calculator cu totul. Ei bine, să presupunem că calculator pur și simplu se uită la toate de traficul pe care îl solicită de la Facebook și toate paginile web pe care îl solicită de la Facebook. Și în orice moment se vede în trafic o adresă URL care începe cu HTTPS, l dinamic, pe zbura, se rescrie ca HTTP. Și ori de câte ori vede o locație antet, locație colon, ca și cum am folosi pentru a redirecționa utilizatorul, cei care, de asemenea, poate fi schimbat de către acest om în centru de la HTTPS la HTTP. Deci, chiar dacă te-ar putea că ești la adevăratul Facebook, aceasta nu este așa de greu pentru o adversar cu acces fizic la rețea pentru a pur și simplu a reveni pagini pentru a vă că uita-te cum ar fi Gmail, că arata ca Facebook, și într-adevăr, URL-ul este identice, pentru că sunt pretinzând că au același nume de gazdă din cauza unor exploatare a DNS sau un alt sistem de genul asta. Iar rezultatul, atunci, este că noi, oamenii, s-ar putea doar dau seama că, OK, acest lucru arata ca Gmail sau cel puțin versiunea mai veche, cum este acest diapozitiv de la o prezentare mai în vârstă. Dar se pare ca asta: http://www.google.com. Deci, aici, de asemenea, realitatea este faptul că modul în care mulți dintre voi, atunci când te duci la Facebook sau Gmail sau orice site-ul și știți ceva despre SSL, câți dintre voi fizic de tip https: // și apoi pe site-ul numele, Enter. Cele mai multe dintre noi chiar tip, cum ar fi, CS50, apăsați Enter sau F-A pentru Facebook și apăsați pe Enter, și lăsați-l să auto-complete. Dar în spatele scenei, în cazul în care te uiti traficul HTTP, există, probabil, o grămadă dintre aceste antete de localizare care sunt vă trimită la Facebook pentru www.facebook.com la https://www.facebook.com. Deci, asta e una sau mai multe tranzacții HTTP în cazul în care informațiile dvs. este complet trimis în clar, nu criptare fel. Acum, că nu ar putea fi o astfel de mare face dacă tot ce încerci să faci este accesa pagina de pornire, nu ești trimite numele de utilizator și parola. Dar ceea ce este dedesubt capota, mai ales pentru site-uri web bazate pe PHP, care este, de asemenea, fiind trimis înainte și înapoi, atunci când pe care le vizitați unele pagina de web în cazul în care că utilizările site-ul, să zicem, PHP și pune în aplicare funcționalitate ca pset7? Ceea ce a fost trimis înainte și înapoi în antetele HTTP pe care le-a dat acces la acest destul de util super-global în PHP? Audiența: Cookies. DAVID J. MALAN: Biscuiti, în special PHP sess cookie ID. Deci, amintesc, dacă mergem la, să zicem, cs50.harvard.edu din nou, dar de această dată, să deschidem Tab-ul de rețea, și acum, aici, hai literalmente doar du-te la http://cs50.harvard.edu și apoi apăsați Enter. Și apoi uita-te la ecranul de jos de aici. Observați că într-adevăr avem înapoi un 301 sa mutat definitiv mesaj, ceea ce înseamnă că nu e un antet locație aici, care este acum mă redirecționarea la HTTPS. Dar captura este că, dacă am avut deja un cookie ștampilat pe mâna mea practic, așa cum am discutat mai înainte, și Am genul uman de necunoștință doar vizita nesigure versiune, și browser-ul meu este nevoie de pe sine, pentru a arăta că ștampila mână pentru prima cerere, care este prin HTTP, orice om la mijloc, orice adversar în mijloc, teoretic se poate vedea doar aceste antete HTTP, doar ca și cum ne uităm la ele aici. E doar o dată ce ești vorbesc cu un HTTPS URL-ul nu că ștampila mână se obține criptat, a la Caesar sau Vigenere, dar cu un algoritm crescator totul. Deci, aici, de asemenea, chiar dacă site-uri folosesc HTTPS, noi, oamenii s-au conditionat, mulțumesc la tehnici de auto-complete și de altă natură, să nu gândești implicațiile potențiale. Acum, există modalități în jurul valorii de acest lucru. De exemplu, mulți site-uri pot fi configurate astfel încât, odată ce ai această mână ștampila, vă pot spune browser-ului, acest timbru mână este doar pentru conexiuni SSL. Browser-ul nu ar trebui să prezinte l la Mine, dacă e peste SSL. Dar multe site-uri nu deranjez cu asta. Și multe site-uri aparent chiar nu deranjez cu SSL, la toate. Deci, pentru mai mult la asta, nu e de fapt chiar mai mult murdărie în această prezentare că un coleg a dat la o așa-numită negru pălărie conferință un cuplu de ani în urmă, în cazul în care există chiar și alte trucuri malware oamenii au folosit. S-ar putea aminti acest lucru noțiune de un favicon, care este ca un mic logo-ul care este de multe ori în fereastra browser-ului. Ei bine, ce a fost comune printre baietii rai este pentru a face icoane Fab care arata ca ce? Audiența: [inaudibil]. DAVID J. MALAN: Spune din nou? Audiența: Site-urile. DAVID J. MALAN: Nu este un site web. Așa că favicon, mic mic icon. Care ar fi cel mai malware lucru, de manipulare ai putea face site-ul dvs. icon implicit arata ca? Audiența: Un sistem de blocare verde. DAVID J. MALAN: Ce-i asta? Audiența: Un pic de verde de blocare. DAVID J. MALAN: Ca un sistem de blocare verde, exact. Deci, puteți avea această estetic de un pic de lacăt verde, aluzie la lumea, oh, suntem sigur, atunci când, din nou, tot ce înseamnă este că știi ceva HTML. Deci, hijack se referă la exact acest lucru. Dacă aveți pe cineva care e un fel de sniffing undele radio în această cameră aici sau are acces fizic la un rețea și pot vedea cookie-urile, el sau ea poate apuca de asta PHP sess cookie ID. Și apoi, dacă sunt savvy suficient să știi cum să pună că cookie ca fiind al lor ștampila mână doar prin copierea acestei valori și trimiterea antetele HTTP, cineva ar putea foarte ușor conectați la oricare dintre Facebook conturi sau conturi Gmail sau conturi de Twitter care se afla aici, deschise în cameră, dacă nu sunteți folosind SSL iar în cazul în care site-ul este nu folosesc corect SSL. Deci, haideți să trecere la alta. Deci, o altă poveste adevărată. Și aceasta sa rupt în Știrile o săptămână sau două în urmă. Verizon a făcut un lucru foarte rău, și ca cei mai buni oameni pot spune, cel puțin din 2012, prin care, când accesați site-uri web prin intermediul unui Verizon telefon mobil, indiferent de producător este, au fost îndrăzneală, cum spune povestea, injectarea în toate HTTP tale trafic propriu în afara lor HTTP. Și care arată antet cum ar fi asta: X-UIDH. UID este ca un unic de identificare sau ID-ul de utilizator. Și X tocmai înseamnă acest lucru este un obicei header asta nu e standard. Dar ce înseamnă acest lucru este că, dacă aș trage în sus, de exemplu, orice site pe here-- meu de telefon și eu sunt, folosind Verizon ca carrier-- meu chiar dacă browser-ul meu nu s-ar putea trimite acest HTTP antet, Verizon, cât mai curând ca semnal ajunge lor turn de telefon mobil undeva, a fost de ceva timp injectarea acest header în tot traficul HTTP noastre. De ce fac ei acest lucru? Probabil din motive de urmărire, din motive de publicitate. Dar decizia de proiectare moronic aici este faptul că în afara HTTP, după cum știți de la pset6, este primit de către orice server de web pe care îl solicită trafic de. Deci, în tot acest timp, în cazul în care ați fost în vizită Facebook sau Gmail sau orice site web care nu utilizează SSL toate time-- și de fapt, cei două din fericire acum do-- dar alte site-uri care nu folosesc SSL tot timpul, Verizon are, în esență, a fost de plantare, cu forța, o ștampilă mână pe toată noastre mâini care nici noi nu văd, ci mai degrabă, site-urile de capăt fac. Și așa nu a fost faptul că greu pentru oricine de pe internet rulează un server web pentru a realiza, ooh, aceasta este David, sau, ooh, aceasta este Davin, chiar dacă suntem riguros cu privire la compensare cookie-urile noastre, deoarece aceasta nu vine de la noi. Vine de la operatorul de transport. Ei fac o căutare pe numărul dvs. de telefon și apoi spune, oh, aceasta este David. Permiteți-mi să vă injectați un identificator unic, astfel că agenții noștri de publicitate sau oricine poate urmări acest lucru. Deci, aceasta este de fapt foarte, foarte, foarte rău și oribil. Și v-aș încuraja să arunca o privire, de exemplu, la acest URL, pe care eu ar trebui să renunțe la De fapt am încercat această în această dimineață. I-am scris un script mic, pune-l la acest URL, a vizitat-o ​​cu propria ta Verizon telefon mobil după pornirea Wi-Fi off. Deci, va trebui să activați Wi-Fi off, astfel încât pe care îl utilizați 3G sau LTE sau altele asemenea. Și apoi, dacă accesați acest URL, toate acest script nu pentru voi, dacă pe care doriți să joace, se scuipa ce antete HTTP telefonul este de a trimite la serverul nostru. Și eu, de fapt, în echitate, a făcut nu vedea acest lucru în această dimineață, care mă face să cred, fie la nivel local turn de telefon mobil am fost conectat la sau fleacuri nu o face, sau le-au retras a face acest lucru temporar. Dar pentru mai multe informații, pentru a merge la această adresă URL aici. Și acum la asta: acest comic-ar putea face sens. Nu? OK. Bine. Care a murit. Bine. Deci, haideți să aruncăm o privire la un cuplu de mai atacuri, în cazul în care numai pentru a creste gradul de constientizare și apoi oferă un cuplu solutii potentiale astfel încât ești mult mai atent. Acesta ne-a vorbit despre celălalt zi, dar nu a dat un nume pentru ea. E o cerere de fals cross-site, care este un mod excesiv de fantezist de a spune vă păcălească un utilizator în Dați clic pe un URL ca aceasta, care le trucuri în unele comportament care ei nu a intenționat. În acest caz, acest lucru pare să încerce să mă păcălească în vânzarea acțiunilor mele de Google. Iar acest lucru va reuși dacă Eu, programator de pset7, nu au făcut ce? Sau, mai degrabă, mai general, în ceea ce cazuri sunt eu vulnerabil la un atac dacă trucuri cineva un alt utilizator într clic pe un URL ca aceasta? Da? Audiența: Nu se facă distincția între GET și POST. DAVID J. MALAN: Bun. Dacă nu vom face distincția între GET și POST, și într-adevăr, dacă ne-am permite GET pentru a vinde lucruri, ne invita acest tip de atac. Dar am putea totuși atenua oarecum. Și am comentat, cred, saptamana trecuta ca Amazon, cel puțin incearca pentru a atenua acest lucru cu o tehnică asta e destul de simplu. Ce ar fi un lucru inteligent de a face fie pe server-ul dvs., mai degrabă decât doar orbește de vânzare indiferent de simbol tipurile de utilizatori în? Audiența: Confirmarea felul? DAVID J. MALAN: un ecran de confirmare, ceva care implică interacțiunea umană așa că am forțat să face apel judecată, chiar dacă am făcut clic naiv un link care arata ca aceasta și ma condus la ecranul de celule, la cel puțin mi-a cerut pentru a confirma sau nega. Dar nu un atac mai puțin frecvente, în special în așa-numitul phishing sau spam-ului ca atacuri. Acum, acesta este un pic mai subtil. Acesta este un atac cross-site scripting. Și acest lucru se întâmplă în cazul în care dumneavoastră site-ul nu utilizează echivalentul a htmlspecialchars. Și se dictează introduse de utilizator și locații orbește injectarea într-o pagină web, ca cu print sau ecou, ​​aplice: again-- afară de asteptare ceva ca htmlspecialchars. Deci, să presupunem că site-ul de la Întrebarea este vulnerable.com. Și presupun că acceptă un parametru numit q. Uită-te la ceea ce s-ar putea întâmpla dacă am de fapt, un tip rău, tastați sau truc un utilizator în a vizita un URL care arata ca asta: q = tag script-ul deschis, închis tag script. Și din nou, eu sunt presupunând că vulnerable.com nu este va transforma periculos de caractere, cum ar fi paranteze deschise în entități HTML, ampersand, L-T, lucru punct și virgulă care v-ar fi văzut înainte. Dar ceea ce este script-ul sau cod JavaScript Am încercat să păcălească un de folosire în executare? Ei bine, document.location se referă la adresa curentă a browserului meu. Deci, dacă eu fac document.location =, acest lucru permite-mi să redirecționeze utilizatorul în JavaScript pentru a un alt site web. E ca și cum funcția noastră PHP redirect, dar făcut în JavaScript. Unde sunt încercarea de a trimite utilizatorul? Ei bine, aparent, badguy.com/log.php, care este un script, aparent, tipul rău a scris, care ia un parametru numit cookie. Și comunicare, ceea ce fac eu par a fi concatenarea pe la sfârșitul acestui semn egal? Ei bine, ceva care spune document.cookie. Noi nu am vorbit despre asta. Dar se pare că, în JavaScript, la fel ca în PHP, puteți accesa toate cookie-urile că browser-ul dvs. este, de fapt, folosind. Deci efectul acesta linie de cod, în cazul în care un utilizator este păcălit să faceți clic pe acest link iar site-ul vulnerable.com nu scăpa de ea cu htmlspecialchars, este că trebuie doar eficient încărcat la log.php toate cookie-urile. Și asta nu e întotdeauna problematică, cu excepția cazului în unul dintre aceste cookie-uri este ID-ul de sesiune, ta așa-numitul timbru de mână, care înseamnă badguy.com poate face lui sau a ei proprie Cereri HTTP, trimiterea acea mână aceeași ștampila, că același antet cookie, și conectați la orice site web ați fost în vizită, care în acest caz este vulnerable.com. Este un cross-site scripting atac în sensul că ești un fel de pacalirea un site în a spune un alt site web despre unele informații aceasta nu ar trebui, de fapt, au acces la. Bine, gata pentru o alte detalii ingrijoratoare? În regulă, lumea este un loc înfricoșător, în mod legitim așa. Iată un simplu JavaScript exemplu e în codul sursă de azi numit de geolocalizare 0 și 1. Și există un cuplu walkthroughs on-line pentru asta. Și aceasta nu cu următorul text dacă am Deschide această pagină web în Chrome. Ea primul nu face nimic. OK, vom încerca din nou. Oh. Nu, ar trebui să facă ceva. OK, stand by. Să încercăm încă o dată. [Inaudibil] Ah, OK, nu sunt sigur de ce the-- oh, aparatul probabil pierdut internet acces pentru un motiv oarecare. În regulă, așa se întâmplă cu mine, de asemenea. În regulă, deci aviz ce se întâmplă aici. Acest criptic-cautati URL-ul, care este doar unul dintre servere CS50, dorește să utilizeze în computerul meu Locul de amplasare, ca punct de vedere fizic înseamnă. Și dacă, într-adevăr, am faceți clic pe Permite, să vedem ce se întâmplă. Aparent, aceasta este latitudine meu curent și longitudinal coordonează jos la o rezolutie destul de naibii de bine. Deci, cum am ajuns la asta? Cum functioneaza acest website, cum ar fi serverul CS50, Știi fizic în cazul în care în lume Sunt, să nu mai vorbim de asta precizie. Ei bine, apoi out-- hai să uita-te la source-- paginii că aici este o grămadă de HTML la în partea de jos care are în primul rând asta: onload corp = "Geolocalizati" - doar o funcție-am scris. Și vreau să spun, pe de încărcare pagina, sunați Geolocalizati. Și apoi nu e nimic în organism, deoarece în capul paginii, observați ce am aici. Iată funcția mea Geolocalizati. Și acesta este doar o eroare checking-- în cazul în care tipul de navigator.geolocation nu este nedefinit. Deci, JavaScript are această mecanism în cazul în care se poate spune, ceea ce este tip de această variabilă? Și dacă nu e undefined-- ceea ce înseamnă că este ceva value-- Am de gând să sun navigator.geolocation.getCurrentPosition și apoi apel invers. Ce-i asta? Deci, în general, ceea ce este un apel invers, doar pentru a fi clar? S-ar putea s-au confruntat aceasta deja în pset8. Apel invers e un generic Termenul pentru a face ceea ce? Se simte ca doar eu astăzi. Audiența: [inaudibil]. DAVID J. MALAN: Exact, o funcție care ar trebui să fi apelat doar atunci când avem date. Acest apel la browser-ul, pentru a primi curent meu Poziția, s-ar putea să ia o milisecunda, ar putea dura un minut. Ce înseamnă acest lucru este ne spune metoda GET getCurrentPosition, numim această funcție de apel invers, pe care am literalmente numit de apel invers pentru simplitate, care se pare că e asta de aici. Și modul în care getCurrentPosition de lucrări, pur și simplu prin citirea documentației pentru un cod JavaScript on-line, este care se numește că așa-numitul apel invers funcție, el trece în un obiect JavaScript, în interiorul căruia este .coords.latitude și .coords.longitude, care este exact cum, atunci, când am reîncărcat această pagină, Am fost capabil de a vedea locația mea aici. Acum, cel puțin nu a existat o apărare aici. Înainte de a vizita această pagină, atunci când lucrate efectiv, ceea ce am fost, cel puțin vi se va cere? Audiența: [inaudibil]. DAVID J. MALAN: Da sau no-- face doriți să permiteți sau nega acest lucru? Dar cred, de asemenea, despre obiceiurile voi au adoptat, probabil, atât pe telefoane si browsere. Mulți dintre noi, eu inclus, sunt, probabil, destul de predispus acestea vă days-- a se vedea un pop-up, trebuie doar să introduceți, OK, Aprobare, Permiteți. Și tot mai mult, puteți pune te la risc pentru aceste motive. Deci, în fapt, a existat acest bug minunat câțiva ani ago-- sau lipsa de feature-- ca iTunes a avut în urmă cu câțiva ani, prin care, dacă ați avut un telefon mobil, și a fost un iPhone, și ai plecat acasă și, prin urmare, a călătorit în jurul lumii sau cartier, în tot acest timp, telefonul a fost de logare în cazul în care vă aflați prin GPS. Și acest lucru este, de fapt descrisă, și fel de oameni au spus asta acum. Telefonul dumneavoastră să știe unde vă aflați. Dar problema a fost că, atunci când s-au backup telefonul pentru a iTunes-- acest lucru a fost înainte de zile de la icloud, care este de mai bine sau pentru worse-- era stocate datele în iTunes, complet necriptat. Deci, dacă aveți o familie sau colegi de camera sau un vecin rău intenționat care e curiosi literalmente fiecare GPS coordona ați fost vreodată la, el sau ea ar putea pur și simplu stai jos la iTunes, rulați unele software-ul care a fost în mod liber disponibile, și hărți produc ca aceasta. De fapt, aceasta este ceea ce am produse de telefonul meu propriu. L-am conectat. Și se pare că, pe baza pe punctele albastre de acolo, care este în cazul în care cea mai mare parte coordonatele GPS erau conectat prin iTunes pe care am a fost în nord-est acolo. Dar se pare că am călătorit în jurul valorii de un pic, chiar și în Massachusetts. Deci, asta e Boston Harbor acolo, pe dreapta. Asta e un fel de Cambridge și Boston, unde e cea mai întunecată. Și, ocazional, mi-ar alerga comisioane la o geografie mai mare. Dar iTunes, de ani de zile, a avut, în calitate de cel mai bun Aș putea spune, toate aceste date pe mine. Ai putea spune că, în acel an, am fost de fapt călătoresc foarte mult între Boston și New York, merge înainte și înapoi și înainte și înapoi. Și într-adevăr, aceasta este de mine pe Amtrak, înapoi și mai departe, înainte și înapoi, destul de un pic. Toate care era conectat și stocate criptate pe calculatorul meu pentru oricine care ar putea avea acces la calculatorul meu. Acest lucru a fost ingrijoratoare. Nu știam de ce am fost în Pennsylvania sau de ce telefonul meu a fost în Pennsylvania, se pare destul de dens. Și apoi, în cele din urmă, m-am uitat la Gcal mea, și, oh, I a vizitat CMU, Carnegie Mellon, la momentul respectiv. Și Pfiu, acest tip de a explicat că blip. Și apoi, dacă zoom în continuare, puteți vezi Am vizitat San Francisco unul sau mai multe ori, apoi, și am avut chiar o escală în ceea ce Cred că este Vegas, acolo jos. Deci, toate de asta: doar o escală, la aeroport. Audiența: [râsete] Deci, aceasta este doar să spun că acestea probleme, sincer, sunt omniprezente. Și se simte numai ce în ce mai place acolo mai mult și mai mult de acest lucru fiind dezvăluite, care este, probabil, un lucru bun. Îndrăznesc să spun, lumea nu este înrăutățește de la software-ul scris. Suntem mult mai bine, sperăm, la precizăm cat de rau un anumit software este pe care îl utilizăm. Și din fericire, unii companii au început să fie trași la răspundere pentru aceasta. Dar ce fel de apărare poate ai in minte? Deci, în afară de manageri parola, cum ar fi 1Password și LastPass și alții, în afară de doar schimbarea parolele și de a veni cu cele aleatoare utilizând software-ul ca care, puteți încerca, de asemenea, cat de bine poti pentru a cripta toate de trafic pentru cel puțin restrange zona de o amenințare. Deci, de exemplu, ca filialele de la Harvard, tot ce se poate merge la vpn.harvard.edu și conectați-vă cu ID-ul Harvard și codul PIN. Și acest lucru se va stabili o secure conexiune între tine și Harvard. Acum, că nu te protejeze în mod necesar împotriva oricăror amenințări care se afla între Harvard și Facebook sau Harvard și Gmail. Dar dacă sunteți de zi într-un aeroport sau esti ședinței în Starbucks sau sunteți așezat la locul unui prieten, și nu într-adevăr încredere în ei sau lor configurarea router lor de origine, cel puțin puteți stabili o conexiune securizată la o entitate ca acest loc e probabil un pic mai bine securizat decât ceva ca un Starbucks sau altele asemenea. Și ce acest lucru nu este stabilește, din nou, criptare între tine și punctul final. Chiar crescator sunt lucruri de genul asta. Deci, unii dintre voi s-ar putea deja să cunoască Tor, care este acest tip de anonymization rețea, prin care o mulțime de oameni, în cazul în care executați acest software, traseu ulterior internet lor trafic prin celălalt. Deci, cel mai scurt punct este nu mai între A și B. Dar ar putea fi peste tot plasează astfel încât tu ești în esență, acoperă urmele cuiva și ieșirea mai puțin de un record de unde HTTP dvs. trafic au venit de la, pentru că se întâmplă printr-o grămadă de treburile altora laptop-uri sau desktop-uri, pentru bine și la rău. Dar chiar și acest lucru nu este un lucru sigura. Unii dintre voi s-ar putea aminti de anul trecut sperie bomba care a fost numit în. Și a fost trasat în cele din urmă la o utilizator care a folosit această rețea de aici. Și captura acolo, așa cum îmi amintesc, este, dacă există, nu că multe alte persoane folosind un software ca aceasta sau folosind acest port și protocol, nu este atât de greu pentru o rețea de chiar dau seama cine, cu o anumită probabilitate, a fost, de fapt, a anonimatului lui sau ei de trafic. Și nu știu dacă acestea au fost informații reale în cauză. Dar cu siguranță, dăm seama că nici unul dintre acestea sunt soluții de Surefire, de asemenea. Și obiectivul aici astăzi este puțin te gândești la aceste lucruri și venind cu tehnici de te aperi împotriva lor. Orice întrebări cu privire la toate amenințările care vă așteaptă acolo, și aici? Da? Audiența: Cât de sigure do ne așteptăm ca media [? site-ul să fie,?] cum ar fi proiectul medie CS50? DAVID J. MALAN: Proiectul mediu CS50? Este întotdeauna s-au dovedit în fiecare an, care unele proiecte finale CS50 nu sunt în special securizat. De obicei, e un coleg de cameră sau hallmate că cifrele această out prin trimiterea de cereri de proiect. Scurta answer-- cât de multe site-uri sunt sigure? Mă iau de anomalii de astăzi. Ca și cum aceasta a fost doar întâmplare am realizat că acest site Am fost comanda aceste sincer aranjamente delicioase from-- și eu nu sunt sigur că voi încetați să utilizați site-ul lor; S-ar putea schimba doar meu Ați mai regularly-- nu este clar cât de vulnerabil toate acestea various-- aceasta este de fapt acoperite cu ciocolată. Răspunsul scurt, eu nu pot răspunde la această eficient, altele decât să-l spun nu a fost așa de greu pentru mine să găsi unele dintre aceste exemple doar de dragul discuției în curs. Și păstrarea doar un ochi pe Știri Google și alte resurse va aduce tot mai mult de aceste tipuri de lucruri la lumină. Bine, hai să încheie cu acest prequel că echipa CS50 a pregătit pentru tine în așteptarea CS50 Hackathon. Și pe calea ta într-un clipă, fructe va fi servit. [VIDEO PLAYBACK] [MUSIC Fergie Q TIP, SI GOONROCK, "A Mică petrecere OMORÂT NICIODATĂ NIMENI (ALL Ne-am) "] - [Sforait] [END VIDEO PLAYBACK] DAVID J. MALAN: Asta e pentru CS50. Ne vedem miercuri. [MUSIC - Skrillex, "Imma 'să-l încercați"]