1 00:00:00,000 --> 00:00:11,300 2 00:00:11,300 --> 00:00:15,490 >> Дэвид Дж Маланом: Это CS50, и это начало недели 10. 3 00:00:15,490 --> 00:00:19,460 Вы можете вспомнить, что мы показали на экране 3D принтера, который 4 00:00:19,460 --> 00:00:21,610 это устройство, занимает катушки пластика 5 00:00:21,610 --> 00:00:24,840 а затем выдавливает ее при нагревании его и плавления его так, что мы можем тогда 6 00:00:24,840 --> 00:00:27,310 сформировать армию Чанг из Слоны, например. 7 00:00:27,310 --> 00:00:29,184 >> Так в Леверетта Дом, тем не менее, в последнее время, я 8 00:00:29,184 --> 00:00:31,850 болтал с одним из ваших одноклассники и друг Чанг 9 00:00:31,850 --> 00:00:35,720 по имени Мишель, который на самом деле интернирован в это другая компания в прошлом году, что 10 00:00:35,720 --> 00:00:40,010 имеет другую технику для фактически создание трехмерных объектов, 11 00:00:40,010 --> 00:00:41,890 как этот крошечный небольшой слона здесь. 12 00:00:41,890 --> 00:00:45,550 В частности, то, как это работает является то, что это пример того, что 13 00:00:45,550 --> 00:00:49,740 называется стереолитография, в результате чего есть этот бассейн смолы или жидкости, 14 00:00:49,740 --> 00:00:53,340 а затем лазерный поражает, что жидкость, и постепенно, устройство 15 00:00:53,340 --> 00:00:56,990 подъемники и лифты и подъемники вещь что вы печатаете, как слон, 16 00:00:56,990 --> 00:00:58,676 как жидкость становится твердым. 17 00:00:58,676 --> 00:01:00,550 И результат, на самом деле, является то, что это 18 00:01:00,550 --> 00:01:04,194 гораздо более надежными, чем некоторые из пластик Подарками некоторые из вас 19 00:01:04,194 --> 00:01:04,819 возможно, имели. 20 00:01:04,819 --> 00:01:06,860 >> И то, что Чанг любезно сделал для нас здесь был 21 00:01:06,860 --> 00:01:12,210 сделал Покадровой используя фотографии в течение часа или более, 22 00:01:12,210 --> 00:01:14,580 вероятно, чтобы произвести этот парень здесь. 23 00:01:14,580 --> 00:01:19,060 Был бы кто-то, кто никогда не дошли до хотел приехать ударил Пуск на этом видео? 24 00:01:19,060 --> 00:01:21,250 Позвольте мне пойти с, как о там. 25 00:01:21,250 --> 00:01:21,790 Давай до. 26 00:01:21,790 --> 00:01:24,960 27 00:01:24,960 --> 00:01:25,460 Хорошо. 28 00:01:25,460 --> 00:01:29,250 29 00:01:29,250 --> 00:01:29,896 И вы? 30 00:01:29,896 --> 00:01:31,270 ЛУКА: Люк Меня зовут [неразборчиво]. 31 00:01:31,270 --> 00:01:31,700 Дэвид Дж Маланом: Привет, Люк. 32 00:01:31,700 --> 00:01:32,695 Приятно познакомиться. 33 00:01:32,695 --> 00:01:33,653 >> ЛУКА: Приятно познакомиться. 34 00:01:33,653 --> 00:01:35,120 АУДИТОРИЯ: Он работает для UC. 35 00:01:35,120 --> 00:01:38,640 >> Дэвид Дж Маланом: Я знаю, мы пытаемся не продвигать. 36 00:01:38,640 --> 00:01:41,240 Ладно, так Луки, все что вам нужно сделать здесь, в CS50 37 00:01:41,240 --> 00:01:45,829 хит пробел печатать эту слона. 38 00:01:45,829 --> 00:01:46,495 [ВИДЕОВОСПРОИЗВЕДЕНИЕ] 39 00:01:46,495 --> 00:01:49,988 - [МАШИНА жужжание] 40 00:01:49,988 --> 00:02:00,467 41 00:02:00,467 --> 00:02:01,964 - [CRASH] 42 00:02:01,964 --> 00:02:04,459 - [BOOM] 43 00:02:04,459 --> 00:02:06,147 - [CRASH] 44 00:02:06,147 --> 00:02:06,980 [END ВИДЕОВОСПРОИЗВЕДЕНИЕ] 45 00:02:06,980 --> 00:02:09,370 Дэвид Дж Маланом: Так что это точно на что это походит, чтобы 3D-печати. 46 00:02:09,370 --> 00:02:10,453 И вот ваш слон. 47 00:02:10,453 --> 00:02:12,100 Спасибо за добровольчества. 48 00:02:12,100 --> 00:02:12,830 Хорошо. 49 00:02:12,830 --> 00:02:16,580 Итак, еще раз, в соответствии со спецификацией для Окончательный проект, это оборудование, это 50 00:02:16,580 --> 00:02:18,890 доступны для вас, ребята это, по некоторым причинам, 51 00:02:18,890 --> 00:02:21,870 Ваш проект имеет некоторые пересечения программного и аппаратного обеспечения, 52 00:02:21,870 --> 00:02:24,650 понимаю, что это сейчас ресурсы. 53 00:02:24,650 --> 00:02:27,750 >> Я хотел взять один момент прикоснуться на статье Алого, который вышел 54 00:02:27,750 --> 00:02:30,541 вчера поздно вечером, который был в сообщить, что этот парень здесь, Давида 55 00:02:30,541 --> 00:02:33,920 Джонсон, который был старшим наставника для Ес 10 в течение достаточно долгого времени, 56 00:02:33,920 --> 00:02:36,210 покидает Гарвард на Конец учебного года. 57 00:02:36,210 --> 00:02:38,390 И я просто хотел воспользоваться моментом, если честно, 58 00:02:38,390 --> 00:02:41,620 поблагодарить Дэвида перед CS50. 59 00:02:41,620 --> 00:02:44,360 Он был наставником виды на нас на протяжении многих лет. 60 00:02:44,360 --> 00:02:46,980 >> И я чувствую, что мы, CS50, есть а выросли с Ес 10 61 00:02:46,980 --> 00:02:48,870 здесь, так как они прямо перед нами. 62 00:02:48,870 --> 00:02:52,040 И он, и вся команда в Ес 10 имеет был удивительно добрым, честно говоря, 63 00:02:52,040 --> 00:02:55,410 как мы тащить в все наше оборудование каждую неделю, и лет назад, 64 00:02:55,410 --> 00:02:57,320 при условии, большое адвоката, поскольку мы были 65 00:02:57,320 --> 00:02:59,520 любопытно, как они работают Ес 10. 66 00:02:59,520 --> 00:03:02,640 Таким образом, наши благодарность и восхищение Дэвид Джонсон. 67 00:03:02,640 --> 00:03:06,560 >> [Аплодисменты] 68 00:03:06,560 --> 00:03:08,030 69 00:03:08,030 --> 00:03:12,180 >> Теперь, unrelatedly, так конец действительно близок. 70 00:03:12,180 --> 00:03:13,630 Мы здесь, в неделю 10. 71 00:03:13,630 --> 00:03:15,920 И у нас есть только лишь пара формальных недель 72 00:03:15,920 --> 00:03:18,320 здесь в классе осталось, а затем на пару событий. 73 00:03:18,320 --> 00:03:21,860 Таким образом, чтобы дать вам ощущение того, что это на горизонте, мы здесь сегодня. 74 00:03:21,860 --> 00:03:24,480 >> В эту среду, напомним, мы будем иметь с гостевой лекцией 75 00:03:24,480 --> 00:03:27,040 не кто иной, Microsoft, самостоятельно Стив Балмер. 76 00:03:27,040 --> 00:03:31,740 Если вы еще не ушли в cs50.harvard.edu/register, 77 00:03:31,740 --> 00:03:33,360 сделать это, так как пространство будет ограничено. 78 00:03:33,360 --> 00:03:36,447 И они будут проверять Идентификаторы в дверь сей день. 79 00:03:36,447 --> 00:03:38,280 Если вы не были здесь На прошлой неделе, я думал, что я 80 00:03:38,280 --> 00:03:41,850 дразнить вас с другим взглядом на Стива и волнение, что 81 00:03:41,850 --> 00:03:44,215 нас ждет в среду. 82 00:03:44,215 --> 00:03:45,205 >> [ВИДЕОВОСПРОИЗВЕДЕНИЕ] 83 00:03:45,205 --> 00:03:46,195 >> -Passion. 84 00:03:46,195 --> 00:03:50,650 >> -Мы Будет hardcore-- хардкор. 85 00:03:50,650 --> 00:03:51,640 >> -Innovator. 86 00:03:51,640 --> 00:03:53,339 >> -Билл Сказал, вы не получите его. 87 00:03:53,339 --> 00:03:55,130 Мы собираемся поставить компьютер на каждом столе 88 00:03:55,130 --> 00:03:58,690 и в каждом доме, который стал Девиз для компании. 89 00:03:58,690 --> 00:04:01,850 Клянусь, Билл придумал в ту ночь, чтобы действительно дать мне 90 00:04:01,850 --> 00:04:04,370 некоторые из видения Поэтому я должен сказать, да. 91 00:04:04,370 --> 00:04:07,280 Я никогда не оглядывался назад, действительно, после этого. 92 00:04:07,280 --> 00:04:10,010 >> -Fresh Из колледжа, он присоединился к зарождающейся стартап 93 00:04:10,010 --> 00:04:14,450 и помог ему вырасти в одного из Америки большинство успешных предприятий когда-либо. 94 00:04:14,450 --> 00:04:16,920 Жизнь и бизнес уроки по пути 95 00:04:16,920 --> 00:04:19,925 пусть его обратно в его детство страсть и любовь. 96 00:04:19,925 --> 00:04:24,650 И эти опыты подготовили ему за его следующий вызов в жизни. 97 00:04:24,650 --> 00:04:27,150 >> -Ничего Получает в нашей way-- бум! 98 00:04:27,150 --> 00:04:29,330 Держите приходить хардкор! 99 00:04:29,330 --> 00:04:31,150 Перейти Клипперс! 100 00:04:31,150 --> 00:04:38,627 >> -Это Стив Баллмер, "In My Own Words". 101 00:04:38,627 --> 00:04:39,460 [END ВИДЕОВОСПРОИЗВЕДЕНИЕ] 102 00:04:39,460 --> 00:04:41,240 Дэвид Дж Маланом: --this Среда для CS50. 103 00:04:41,240 --> 00:04:43,080 Голова снова в этот URL здесь. 104 00:04:43,080 --> 00:04:46,500 Что касается того, что еще на горизонте, на следующей неделе, не лекция в понедельник. 105 00:04:46,500 --> 00:04:50,020 Но мы будем следить, что по викторине одного в среду. 106 00:04:50,020 --> 00:04:54,390 Перейти на главную страницу CS50 за получением подробной информации на людях, местах, и раз 107 00:04:54,390 --> 00:04:57,640 для всех различных proctoring логистика и т.п., 108 00:04:57,640 --> 00:05:00,190 а также о рассмотрении сессий, которые еще предстоит провести. 109 00:05:00,190 --> 00:05:06,479 А потом, наконец, в понедельник, в день до недели перерыва Благодарения, 110 00:05:06,479 --> 00:05:08,020 понимаю, что это будет наш окончательный доклад. 111 00:05:08,020 --> 00:05:11,490 Мы будем служить торт и большой Сделка волнения, мы надеемся. 112 00:05:11,490 --> 00:05:13,976 >> Теперь, несколько других обновлений. 113 00:05:13,976 --> 00:05:16,350 Имейте в виду, что статус Отчет, который на самом деле просто 114 00:05:16,350 --> 00:05:20,430 значит быть случайным взаимодействие с TF с гордостью заявить только 115 00:05:20,430 --> 00:05:23,106 как далеко с вашим Окончательный проект вы, 116 00:05:23,106 --> 00:05:24,980 или, по крайней мере, как здравомыслие убедитесь, что вы должны 117 00:05:24,980 --> 00:05:27,250 приближается, что указывают вскоре после этого. 118 00:05:27,250 --> 00:05:28,660 Hackathon то следует, что. 119 00:05:28,660 --> 00:05:30,800 Осознайте Hackathon не возможность 120 00:05:30,800 --> 00:05:33,690 чтобы начать свой окончательный проект, но предназначается, чтобы быть возможность 121 00:05:33,690 --> 00:05:37,040 чтобы быть в середине или к конец вашей окончательного проекта, 122 00:05:37,040 --> 00:05:41,030 с осуществлением должного несколько дней, после чего CS50 выставке. 123 00:05:41,030 --> 00:05:43,330 >> Теперь, производство CS50 в Команда, пару лет назад, 124 00:05:43,330 --> 00:05:46,127 собрать головоломку для CS50 ярмарке, что мы 125 00:05:46,127 --> 00:05:48,710 думал, что мы покажем вам, сегодня, потому что они усердно работали 126 00:05:48,710 --> 00:05:51,930 на приквел к что, новый видео что мы завершим сегодня с. 127 00:05:51,930 --> 00:05:57,694 Но вот, что ждет вас для этого года CS50 ярмарке. 128 00:05:57,694 --> 00:05:58,360 [ВИДЕОВОСПРОИЗВЕДЕНИЕ] 129 00:05:58,360 --> 00:06:00,680 - [CELL телефон звонит] 130 00:06:00,680 --> 00:06:07,624 131 00:06:07,624 --> 00:06:11,117 [MUSIC "тема из Миссия невыполнима"] 132 00:06:11,117 --> 00:08:47,065 133 00:08:47,065 --> 00:08:52,820 [END ВИДЕОВОСПРОИЗВЕДЕНИЕ] 134 00:08:52,820 --> 00:08:56,840 Дэвид Дж Маланом: Так что это точно, как мы закрываем заключительные представления проекта. 135 00:08:56,840 --> 00:08:59,220 Пару теперь teasers-- если Вы хотели бы присоединиться к Нику здесь 136 00:08:59,220 --> 00:09:02,740 на обед, как обычно, это Пятница, направиться в этом URL здесь. 137 00:09:02,740 --> 00:09:05,530 Кроме того, если вы хотите присоединиться к Нику или этот Ника 138 00:09:05,530 --> 00:09:08,770 или это Allison или любой Члены команды CS50 в, 139 00:09:08,770 --> 00:09:11,110 понимаю, что, в ближайшее время после окончания термина, 140 00:09:11,110 --> 00:09:13,780 CS50 будет уже на работу для команды на следующий год, 141 00:09:13,780 --> 00:09:18,130 для сертификации, ТФ, дизайнеры, производители, исследователи и другие позиции 142 00:09:18,130 --> 00:09:21,790 что здесь работают CS50 и в Фронт и за кулисами. 143 00:09:21,790 --> 00:09:25,482 Так что, если это может быть интересно Вам, направиться в этом URL здесь. 144 00:09:25,482 --> 00:09:28,190 И студенты более удобные, менее комфортно, и где-то в 145 00:09:28,190 --> 00:09:31,710 между так все приветствуется и предлагается применять. 146 00:09:31,710 --> 00:09:34,920 >> Так было идеальное время, что, не шутка, сегодня утром, когда я проснулся, 147 00:09:34,920 --> 00:09:37,220 У меня был такой вот спам в почтовом ящике. 148 00:09:37,220 --> 00:09:39,420 Это на самом деле поскользнулся через спам-фильтр в Gmail 149 00:09:39,420 --> 00:09:41,659 как-то и оказался в моей реальной ящике. 150 00:09:41,659 --> 00:09:43,700 И это говорит, "Дорогой сообщения Пользователь, Вы находитесь в данный момент 151 00:09:43,700 --> 00:09:45,240 повышен до 4 гигабайт пространства. 152 00:09:45,240 --> 00:09:50,750 Пожалуйста, войдите в свой аккаунт для того, чтобы проверить электронную пространство ". 153 00:09:50,750 --> 00:09:54,100 >> А тут еще этот хороший синий заманчивые ссылка там нажать на 154 00:09:54,100 --> 00:09:59,480 для преподавателей и сотрудников, которые затем привели меня к чудесно законной странице, которая 155 00:09:59,480 --> 00:10:02,300 попросил меня дать им свое имя и адрес электронной почты и, конечно, 156 00:10:02,300 --> 00:10:05,090 пароль для подтверждения кто я и так далее. 157 00:10:05,090 --> 00:10:09,330 Но, конечно, как это всегда бывает, Вы прибываете на этой странице посадки, 158 00:10:09,330 --> 00:10:11,370 и, конечно, есть по крайней мере, один опечатка, 159 00:10:11,370 --> 00:10:14,840 который, кажется, гвоздь в гроб любого из этих мошенников. 160 00:10:14,840 --> 00:10:17,890 И мы разместим, возможно, некоторые другие Ссылки на эти виды скриншотов 161 00:10:17,890 --> 00:10:18,473 в будущем. 162 00:10:18,473 --> 00:10:22,535 Но будем надеяться, что большинство людей в Этот номер не clicked-- 163 00:10:22,535 --> 00:10:24,410 или даже если вы нажали такие ссылки, как это, 164 00:10:24,410 --> 00:10:28,040 Вы не зашли так далеко, чтобы заполнить эти формы и так далее. 165 00:10:28,040 --> 00:10:30,210 На самом деле, все в порядке, если у вас есть. 166 00:10:30,210 --> 00:10:33,410 Мы постараемся исправить это сегодня, потому что, Действительно, сегодняшняя беседа 167 00:10:33,410 --> 00:10:34,450 о безопасности. 168 00:10:34,450 --> 00:10:36,500 >> И в самом деле, один из Цели CS50 не 169 00:10:36,500 --> 00:10:38,980 так много, чтобы научить вас CE или PHP или JavaScript или SQL 170 00:10:38,980 --> 00:10:41,610 или любой из них, лежащая в основе Детали реализации. 171 00:10:41,610 --> 00:10:45,612 Но это для расширения возможностей вам как люди просто принимать более взвешенные решения, как это 172 00:10:45,612 --> 00:10:48,070 относится к технологии вниз Дорога, так что, будь вы 173 00:10:48,070 --> 00:10:51,370 инженер или гуманист или ученый или любой другой роли, 174 00:10:51,370 --> 00:10:54,970 Вы делаете обоснованные решения о своем использования вычислительной, 175 00:10:54,970 --> 00:10:56,980 или если вы находитесь в принятия решений позицию, 176 00:10:56,980 --> 00:10:59,250 в политике, в частности, Вы делаете много, 177 00:10:59,250 --> 00:11:02,770 гораздо лучшие решения, чем Много людей сегодня были. 178 00:11:02,770 --> 00:11:04,830 И мы будем делать это, способ несколько примеров. 179 00:11:04,830 --> 00:11:09,030 >> Во-первых, я был весьма удивлен Недавно обнаружить следующее. 180 00:11:09,030 --> 00:11:11,120 Так паролей, конечно, это то, что большинство из нас 181 00:11:11,120 --> 00:11:18,030 использовать, чтобы защитить нашу data-- электронной почты, чатов, и все виды ресурсов, как, что. 182 00:11:18,030 --> 00:11:23,020 И только по awkward-- не показывают из руки, но смущала внешность стыда, 183 00:11:23,020 --> 00:11:26,600 как многие из вас использовать тот же пароль в большом количестве различных веб-сайтов? 184 00:11:26,600 --> 00:11:28,020 >> О, хорошо, так что мы будем делать своими руками. 185 00:11:28,020 --> 00:11:30,950 Итак, многие из вас сделать. 186 00:11:30,950 --> 00:11:33,770 Тот, кто делает это, только зачем? 187 00:11:33,770 --> 00:11:35,078 А что? 188 00:11:35,078 --> 00:11:36,537 Да? 189 00:11:36,537 --> 00:11:39,870 АУДИТОРИЯ: Это легко запомнить, потому что Вы не должны помнить [неразборчиво]. 190 00:11:39,870 --> 00:11:41,703 Дэвид Дж Маланом: Да, это легко запомнить. 191 00:11:41,703 --> 00:11:44,560 Это вполне разумно, рациональное поведение, 192 00:11:44,560 --> 00:11:46,920 даже при том, что риск Вы ставите себя 193 00:11:46,920 --> 00:11:50,540 в этих случаях является просто один или более из этих сайтов 194 00:11:50,540 --> 00:11:54,510 уязвим для взлома или небезопасно или пароль просто 195 00:11:54,510 --> 00:11:57,130 так чертовски угадываемы, кто-нибудь может понять это. 196 00:11:57,130 --> 00:11:59,850 Это не только одна учетная запись скомпрометирован, но в теории, любой 197 00:11:59,850 --> 00:12:01,280 счета у вас есть в Интернете. 198 00:12:01,280 --> 00:12:04,550 Так что я знаю, что я мог бы сказать сегодня, не использовать тот же пароль везде, 199 00:12:04,550 --> 00:12:06,450 но, что гораздо легче сказать, чем сделать. 200 00:12:06,450 --> 00:12:10,850 Но есть методы смягчения, что особую озабоченность. 201 00:12:10,850 --> 00:12:14,030 >> Теперь, я, оказывается, например, в использовать программу 1Password. 202 00:12:14,030 --> 00:12:16,010 Другой популярный из них называется LastPass. 203 00:12:16,010 --> 00:12:19,030 И куча CS50 использования персонала одного или более из этих видов инструментов. 204 00:12:19,030 --> 00:12:20,940 И короче говоря, один вынос на сегодня 205 00:12:20,940 --> 00:12:25,080 должно быть, да, вы, возможно, тот же пароль везде, 206 00:12:25,080 --> 00:12:27,260 но это очень легко, чтобы больше не делать этого. 207 00:12:27,260 --> 00:12:31,260 Например, в эти дни, я знаю, может быть, один из моих десятков или сотен 208 00:12:31,260 --> 00:12:31,910 паролей. 209 00:12:31,910 --> 00:12:33,990 Все мои другие пароли являются псевдослучайно 210 00:12:33,990 --> 00:12:36,046 порожденная одной из этих программ здесь. 211 00:12:36,046 --> 00:12:38,420 И в двух словах, и даже хотя большинство из этих программ 212 00:12:38,420 --> 00:12:41,487 как правило, приходят с небольшим количеством стоимости, Вы бы установить программу, как это, 213 00:12:41,487 --> 00:12:43,820 Вы бы тогда хранить все Ваши имена пользователей и пароли 214 00:12:43,820 --> 00:12:46,960 внутри этой программы на самостоятельно Mac или PC или еще много чего, 215 00:12:46,960 --> 00:12:49,290 и тогда было бы в зашифрованном виде на вашем компьютере 216 00:12:49,290 --> 00:12:51,599 с того, что, мы надеемся, особенно длинный пароль. 217 00:12:51,599 --> 00:12:54,140 Так что у меня целый букет пароли для отдельных веб-сайтов, 218 00:12:54,140 --> 00:12:56,390 и тогда я действительно длинный пароль, который я 219 00:12:56,390 --> 00:12:59,059 использовать, чтобы разблокировать все те другие пароли. 220 00:12:59,059 --> 00:13:00,850 И то, что приятно об программное обеспечение, как это 221 00:13:00,850 --> 00:13:04,016 что, когда вы посещаете веб-сайт, что это с просьбой ввести имя пользователя и пароль, 222 00:13:04,016 --> 00:13:06,304 в эти дни, я не вводите в мое имя пользователя и пароль, 223 00:13:06,304 --> 00:13:08,970 потому что, опять же, я даже не знаю, что большинство моих паролей. 224 00:13:08,970 --> 00:13:12,180 Я вместо ударил клавиатуру Ярлык, результатом которого 225 00:13:12,180 --> 00:13:15,990 это, чтобы вызвать это программное обеспечение для подскажите мне для моего мастер-пароля. 226 00:13:15,990 --> 00:13:18,780 То я печатаю, что один большой пароль, и затем браузера 227 00:13:18,780 --> 00:13:21,090 автоматически заполняет что мой пароль. 228 00:13:21,090 --> 00:13:24,960 Так действительно, если вы не берете ничего от сегодня в плане паролей, 229 00:13:24,960 --> 00:13:28,440 это программное обеспечение, которое стоит загрузки или инвестировать в так 230 00:13:28,440 --> 00:13:30,750 что вы можете, по крайней мере перерыв что особенно привычка. 231 00:13:30,750 --> 00:13:33,374 И если вы тип это с помощью Post-It отмечает или like-- 232 00:13:33,374 --> 00:13:37,310 и шансы по крайней мере, один из вас is-- что привычка тоже достаточно сказать, 233 00:13:37,310 --> 00:13:38,340 должна быть нарушена. 234 00:13:38,340 --> 00:13:42,360 >> Теперь, я случайно обнаружить, в результате использования программного обеспечения, следующее. 235 00:13:42,360 --> 00:13:45,690 Я заказывал съедобный Композиция, это корзина фруктов, недавно. 236 00:13:45,690 --> 00:13:49,380 И я ударился специальную клавиатуру Ярлык войти на сайт. 237 00:13:49,380 --> 00:13:53,325 И программное обеспечение запускается всплывающее что сказал, ты уверен, что 238 00:13:53,325 --> 00:13:55,950 Вы хотите, чтобы я автоматически представить это имя пользователя и пароль? 239 00:13:55,950 --> 00:13:57,690 Поскольку соединение является безопасным. 240 00:13:57,690 --> 00:14:01,450 >> Соединение не с помощью HTTPS, для подстраховки, 241 00:14:01,450 --> 00:14:04,900 используя этот протокол, известный как SSL, Secure Sockets Layer. 242 00:14:04,900 --> 00:14:07,640 И в самом деле, если вы посмотрите на в левом верхнем углу этого сайта, 243 00:14:07,640 --> 00:14:12,880 это просто www.ediblearrangements.com, нет HTTPS, который не настолько хорош. 244 00:14:12,880 --> 00:14:15,480 >> Теперь, я был curious-- может быть, это это просто ошибка в программном обеспечении. 245 00:14:15,480 --> 00:14:19,240 Конечно, некоторые веб-сайт, как это что многие из нас знают о 246 00:14:19,240 --> 00:14:24,046 по меньшей мере, с помощью шифрования или HTTPS URL-адреса для авторизации на. 247 00:14:24,046 --> 00:14:25,670 Так что я получил немного любопытно сегодня утром. 248 00:14:25,670 --> 00:14:29,046 И я получил мои навыки CS50, Я открыл Chrome инспектор. 249 00:14:29,046 --> 00:14:30,295 Это даже не большая часть мастерства. 250 00:14:30,295 --> 00:14:32,890 Это просто кликните правой клавиатуры ярлык для открытия это. 251 00:14:32,890 --> 00:14:34,830 А вот большое окно инспектора Chrome. 252 00:14:34,830 --> 00:14:38,960 >> Но то, что было на самом деле немного трагично и смешно 253 00:14:38,960 --> 00:14:40,830 были эти две линии здесь. 254 00:14:40,830 --> 00:14:44,570 Наверху, обратите внимание на URL к которые мое имя пользователя и пароль 255 00:14:44,570 --> 00:14:45,530 были представлены. 256 00:14:45,530 --> 00:14:46,380 Позвольте мне увеличить. 257 00:14:46,380 --> 00:14:47,352 Именно это здесь. 258 00:14:47,352 --> 00:14:49,060 И все это рода неинтересно, 259 00:14:49,060 --> 00:14:54,962 за вещь, за исключением полностью на левая, которая начинается с HTTP: //. 260 00:14:54,962 --> 00:14:57,240 И так то, хорошо, может быть, они просто отправив 261 00:14:57,240 --> 00:14:59,084 мое имя пользователя, который является не такое уж большое дело. 262 00:14:59,084 --> 00:15:00,500 Может быть, мой пароль посылается позже. 263 00:15:00,500 --> 00:15:02,300 Это было бы своего рода Интересно дизайнерское решение. 264 00:15:02,300 --> 00:15:03,100 >> Но нет. 265 00:15:03,100 --> 00:15:06,130 Если вы затем посмотреть по просьбе Полезная нагрузка, имя пользователя и пароль 266 00:15:06,130 --> 00:15:08,470 Я sent-- и я издевался это компенсировать slide-- 267 00:15:08,470 --> 00:15:10,000 были на самом деле послал в открытом виде. 268 00:15:10,000 --> 00:15:13,792 Так вы идете в данном веб-сайте, и заказать Съедобные Композиция, как это, 269 00:15:13,792 --> 00:15:16,750 и в самом деле, по-видимому, для всего этого раз, когда я заказывал от них, 270 00:15:16,750 --> 00:15:19,800 Ваше имя пользователя и пароль собирается встретить в открытом виде. 271 00:15:19,800 --> 00:15:22,120 Так честно, это совершенно неприемлемо. 272 00:15:22,120 --> 00:15:26,240 И это так тривиально, чтобы избежать вещи как это в качестве дизайнера веб-сайта 273 00:15:26,240 --> 00:15:27,950 и как программист веб-сайта. 274 00:15:27,950 --> 00:15:31,020 >> Но вынос здесь нам как пользователям веб-сайтов 275 00:15:31,020 --> 00:15:35,700 просто понять, что все он принимает для одного глупого дизайна 276 00:15:35,700 --> 00:15:40,010 Решение, оправдания дизайнерское решение, так что теперь, если вы знаете, мой пароль 277 00:15:40,010 --> 00:15:41,820 "Малиновый" на это сайт, вы, вероятно, 278 00:15:41,820 --> 00:15:44,654 только что в целой кучей другие сайты, которые я сейчас имеют. 279 00:15:44,654 --> 00:15:46,570 И там не так много защита против этого 280 00:15:46,570 --> 00:15:48,301 кроме того, что Чан сделал сегодня утром. 281 00:15:48,301 --> 00:15:51,550 Он отправился в съестных мерах, которые расположен по улице в Кембридже, 282 00:15:51,550 --> 00:15:53,430 и физически купил это для нас. 283 00:15:53,430 --> 00:15:57,490 Это было гораздо более безопасным, чем Используя веб-сайт в этом случае. 284 00:15:57,490 --> 00:16:02,320 >> Но деталь, чтобы следить за на самом деле то, что в верхней браузера до 285 00:16:02,320 --> 00:16:02,940 есть. 286 00:16:02,940 --> 00:16:04,690 Но даже то, что может быть немного обманчива. 287 00:16:04,690 --> 00:16:07,002 Так еще один интересный пример и способ защиты 288 00:16:07,002 --> 00:16:09,960 против this-- и фактически, давайте у, что first-- путь защиты 289 00:16:09,960 --> 00:16:12,540 против это техника что люди безопасности будет 290 00:16:12,540 --> 00:16:14,810 называют двухфакторной аутентификации. 291 00:16:14,810 --> 00:16:20,130 >> Кто-нибудь знает, что такое решение к проблемам, как это означает? 292 00:16:20,130 --> 00:16:23,110 Что двухфакторной аутентификации? 293 00:16:23,110 --> 00:16:27,320 Или, иными словами, как многие из вас его использовать? 294 00:16:27,320 --> 00:16:28,650 Итак, пару робких людей. 295 00:16:28,650 --> 00:16:29,060 Но да. 296 00:16:29,060 --> 00:16:29,976 Я видел ваши руки вверх. 297 00:16:29,976 --> 00:16:31,510 Что двухфакторной аутентификации? 298 00:16:31,510 --> 00:16:34,010 >> АУДИТОРИЯ: В принципе, в дополнение для ввода вашего пароля, 299 00:16:34,010 --> 00:16:37,390 Вы также имеют среднее [неразборчиво] отправлено с помощью текстовых сообщений на телефон 300 00:16:37,390 --> 00:16:39,460 в [неразборчиво]. 301 00:16:39,460 --> 00:16:40,460 Дэвид Дж Маланом: Совершенно верно. 302 00:16:40,460 --> 00:16:44,150 В дополнение к какой-то форме первичного аутентификации, как пароль, 303 00:16:44,150 --> 00:16:47,190 Вы попросили вторичный фактором, который, как правило, 304 00:16:47,190 --> 00:16:49,740 что-то у вас есть физически на вас, хотя это 305 00:16:49,740 --> 00:16:51,610 может быть совсем другое. 306 00:16:51,610 --> 00:16:54,630 И что самое обычно Мобильный телефон в эти дни, на которые вы получаете 307 00:16:54,630 --> 00:16:59,200 отправлено временный текстовое сообщение, которое говорит "Ваш временный код перевал 12345." 308 00:16:59,200 --> 00:17:01,280 >> Таким образом, в дополнение к моим пароль "малиновый", я также 309 00:17:01,280 --> 00:17:03,916 должны ввести все веб-сайт написал мне. 310 00:17:03,916 --> 00:17:06,290 Или если у вас есть это с банк или инвестиционный счет, 311 00:17:06,290 --> 00:17:08,123 Вы иногда эти маленькие ключи, что 312 00:17:08,123 --> 00:17:11,760 на самом деле есть псевдослучайных Число генератор, встроенный в них, 313 00:17:11,760 --> 00:17:15,849 но как устройство и банк знаю, что ваш первоначальный семя 314 00:17:15,849 --> 00:17:19,710 так, что они знают, как и немного кода на вашей маленькой брелока 315 00:17:19,710 --> 00:17:22,380 марши вперед каждую минуту или два, изменяя значения, 316 00:17:22,380 --> 00:17:25,260 так же, что изменение стоимости на сервере банка 317 00:17:25,260 --> 00:17:28,620 таким образом, что они могут аналогично аутентификации Вы, не только с вашим паролем, 318 00:17:28,620 --> 00:17:30,024 но с этой временной код. 319 00:17:30,024 --> 00:17:31,690 Теперь, вы можете сделать это в Google. 320 00:17:31,690 --> 00:17:33,606 И, честно говоря, это хорошая привычка, 321 00:17:33,606 --> 00:17:36,180 особенно, если вы используете Gmail все время на браузере. 322 00:17:36,180 --> 00:17:39,880 Если вы идете в этот URL здесь, что в слайды онлайн на сегодняшний день, а затем 323 00:17:39,880 --> 00:17:43,579 нажмите на 2 двухэтапную аутентификацию, же фактическая вещь существует. 324 00:17:43,579 --> 00:17:45,870 Вам будет предложено дать им ваш номер мобильного телефона. 325 00:17:45,870 --> 00:17:49,660 А потом, в любое время вы войти в Gmail, вы будете не только попросил 326 00:17:49,660 --> 00:17:53,480 ваш пароль, но и для немного код, который посылается на ваш телефон 327 00:17:53,480 --> 00:17:54,190 временно. 328 00:17:54,190 --> 00:17:57,894 И до тех пор, как вы печенье включен, и до тех пор, пока вы не явно 329 00:17:57,894 --> 00:18:00,060 выйти, вы будете иметь только сделать что раз в некоторое время, 330 00:18:00,060 --> 00:18:01,870 например, когда вы садитесь на новом компьютере. 331 00:18:01,870 --> 00:18:05,320 >> И с ног здесь тоже есть, если вас сесть в какой-то интернет-кафе стиля 332 00:18:05,320 --> 00:18:07,380 Компьютер или просто компьютер друга, даже 333 00:18:07,380 --> 00:18:09,710 если этого друга злонамеренно или по незнанию 334 00:18:09,710 --> 00:18:13,580 имеет некоторые клавиатуры регистратор установлен на своем компьютере, 335 00:18:13,580 --> 00:18:15,640 таким образом, что все, что вы тип захода, 336 00:18:15,640 --> 00:18:19,170 По крайней мере, второй фактор, что временный код, эфемерно. 337 00:18:19,170 --> 00:18:21,630 Таким образом, он или она, или кто это скомпрометирована компьютер 338 00:18:21,630 --> 00:18:24,890 не может войти в вас впоследствии, даже если все остальное 339 00:18:24,890 --> 00:18:27,890 был уязвим или даже в незашифрованном виде в целом. 340 00:18:27,890 --> 00:18:29,760 Facebook есть это тоже, с этой URL здесь, 341 00:18:29,760 --> 00:18:32,070 где вы можете нажать на Вход утверждений. 342 00:18:32,070 --> 00:18:35,500 Так и здесь, если вы не хочу друзья тыкать людей, 343 00:18:35,500 --> 00:18:40,140 Вы не хотите быть тыкая на Facebook или размещая обновления статуса для вас, 344 00:18:40,140 --> 00:18:42,479 двухфакторной аутентификации Здесь, вероятно, хорошая вещь. 345 00:18:42,479 --> 00:18:44,520 А тут еще этот Другой метод вообще, 346 00:18:44,520 --> 00:18:46,853 просто аудит, который еще хорошая вещь для нас, людей, 347 00:18:46,853 --> 00:18:49,950 если двухфакторная доказывает раздражает, что, по общему признанию, он может, или это просто не 348 00:18:49,950 --> 00:18:53,930 доступно на какой-то сайт, минимально следить за, если и когда 349 00:18:53,930 --> 00:18:57,650 Вы входе в сайтах, если они позволит Вам, является хорошим методом, тоже. 350 00:18:57,650 --> 00:19:01,300 Так Facebook также дает это Вход уведомления оснащены, в результате чего 351 00:19:01,300 --> 00:19:06,240 в любое время Facebook понимает, хм, Дэвид имеет вошедшими в систему с какой-то компьютер или телефон 352 00:19:06,240 --> 00:19:09,710 что мы никогда не видели раньше от IP-адрес, который выглядит незнакомым, 353 00:19:09,710 --> 00:19:12,320 они, по крайней мере отправить вам по электронной почте, чтобы какой-либо адрес электронной почты 354 00:19:12,320 --> 00:19:14,750 у вас есть на файле, сказав, это выглядит подозрительно? 355 00:19:14,750 --> 00:19:17,590 Если это так, сразу же сменить пароль. 356 00:19:17,590 --> 00:19:19,610 И так там тоже, просто поведение аудит 357 00:19:19,610 --> 00:19:21,940 даже после того как вы были нарушена, может, по крайней мере 358 00:19:21,940 --> 00:19:25,980 сузить окно во которые вы уязвимы. 359 00:19:25,980 --> 00:19:29,910 >> Ладно, какие-то вопросы на тот материал до сих пор? 360 00:19:29,910 --> 00:19:35,510 Сегодня день, чтобы получить все Ваш паранойя подтверждены или опровергнуты. 361 00:19:35,510 --> 00:19:36,820 Вот в основном подтвердили, к сожалению. 362 00:19:36,820 --> 00:19:37,210 Да? 363 00:19:37,210 --> 00:19:39,223 >> АУДИТОРИЯ: [неразборчиво] телефон, что делать, если ваши телефонные перерывов, 364 00:19:39,223 --> 00:19:41,010 и то это всегда трудно verify-- 365 00:19:41,010 --> 00:19:41,295 >> Дэвид Дж Маланом: Правда. 366 00:19:41,295 --> 00:19:43,330 >> АУДИТОРИЯ: Или, если вы находитесь в другой страна, и они не позволяют вам 367 00:19:43,330 --> 00:19:44,505 войти, потому что [неразборчиво]. 368 00:19:44,505 --> 00:19:45,630 Дэвид Дж Маланом: Абсолютно. 369 00:19:45,630 --> 00:19:48,780 И таким образом, они являются дополнительным затраты, которые вы понесете. 370 00:19:48,780 --> 00:19:51,040 Там всегда эта тема из компромисс, в конце концов. 371 00:19:51,040 --> 00:19:53,748 А потом, если вы потеряете свой телефон, если она сломается, если вы находитесь за границей, 372 00:19:53,748 --> 00:19:56,382 или вы просто не хватает Сигнал, как 3G или LTE сигнала, 373 00:19:56,382 --> 00:19:58,340 Вы не могли бы на самом деле сможет проверить подлинность. 374 00:19:58,340 --> 00:20:00,520 >> Итак, еще раз, эти два компромиссы. 375 00:20:00,520 --> 00:20:03,670 А иногда, это может создать Много работы для вас в результате. 376 00:20:03,670 --> 00:20:08,130 Но это зависит, то, по что ожидаемая цена для вас 377 00:20:08,130 --> 00:20:10,980 это о чем-то существа нарушена полностью. 378 00:20:10,980 --> 00:20:15,300 >> Так SSL, то, это техника, которая все мы, как правило принимают как должное 379 00:20:15,300 --> 00:20:18,970 или предположить есть, несмотря на то, это явно не тот случай. 380 00:20:18,970 --> 00:20:23,339 И вы все еще можете ввести в заблуждение люди, хотя, даже с этим. 381 00:20:23,339 --> 00:20:24,630 Так вот пример из банка. 382 00:20:24,630 --> 00:20:25,860 >> Это Банк Америки. 383 00:20:25,860 --> 00:20:28,730 Там целая куча этих в Гарвардской площади и за ее пределами. 384 00:20:28,730 --> 00:20:32,530 И обратите внимание, что, в самом верху экран, есть, действительно, HTTPS. 385 00:20:32,530 --> 00:20:35,370 И это даже зеленый и подчеркнул для нас 386 00:20:35,370 --> 00:20:39,550 чтобы показать, что это действительно законно защищенный веб-сайт, 387 00:20:39,550 --> 00:20:41,420 или так мы учили верить. 388 00:20:41,420 --> 00:20:46,416 >> Теперь, кроме того, что, тем не менее, заметить, что, если мы приближать, 389 00:20:46,416 --> 00:20:48,790 есть эта вещь здесь, где вам будет предложено войти. 390 00:20:48,790 --> 00:20:54,920 Что это замок в виду право там, рядом с моим именем подскажет? 391 00:20:54,920 --> 00:20:57,890 Это довольно часто встречается на сайтах тоже. 392 00:20:57,890 --> 00:21:01,120 Что это замок в виду? 393 00:21:01,120 --> 00:21:02,453 Вы, кажется, как вы знаете. 394 00:21:02,453 --> 00:21:03,420 >> АУДИТОРИЯ: Это ничего не значит. 395 00:21:03,420 --> 00:21:04,230 >> Дэвид Дж Маланом: Это ничего не значит. 396 00:21:04,230 --> 00:21:07,790 Это означает, что Банк Америки знает, как написать HTML с изображение метки, верно? 397 00:21:07,790 --> 00:21:12,080 Это действительно ничего не значит, потому что даже мы, используя первый день нашего взгляда 398 00:21:12,080 --> 00:21:15,760 в HTML, можно закодировать до страницы с красный фон и изображение, 399 00:21:15,760 --> 00:21:18,910 как GIF или еще много чего, то то он выглядит как висячий замок. 400 00:21:18,910 --> 00:21:20,890 И все же, это супер распространены в веб-сайты, 401 00:21:20,890 --> 00:21:24,000 потому что мы учили считать, что, ох, замок означает безопасный, 402 00:21:24,000 --> 00:21:25,760 когда он на самом деле просто означает, что вы знаете HTML. 403 00:21:25,760 --> 00:21:28,840 >> Например, еще в день, я мог только поставить это на моем сайте, 404 00:21:28,840 --> 00:21:31,660 утверждая, что это безопасно, и спрашивать, эффективно, 405 00:21:31,660 --> 00:21:33,590 для имен пользователей и паролей людей. 406 00:21:33,590 --> 00:21:36,310 Так, глядя в адресе по крайней мере, лучшего ключ, 407 00:21:36,310 --> 00:21:39,580 потому что встроенный в Chrome или что-браузер вы используете. 408 00:21:39,580 --> 00:21:41,470 Но даже тогда, иногда все может пойти не так. 409 00:21:41,470 --> 00:21:45,940 И в самом деле, вы не могли бы всегда см HTTPS, не говоря уже зеленый. 410 00:21:45,940 --> 00:21:48,126 >> Кто-нибудь из вас когда-либо видел экран, как это? 411 00:21:48,126 --> 00:21:50,000 Вы, возможно, на самом деле, в начале октября, 412 00:21:50,000 --> 00:21:54,740 когда я забыл заплатить за наш Сертификат SSL, как это называется, 413 00:21:54,740 --> 00:21:58,400 и мы искали, как это в течение часа или двух. 414 00:21:58,400 --> 00:22:01,830 Таким образом, вы, наверное, видели вещи как это, с зачеркиванием, 415 00:22:01,830 --> 00:22:05,240 красной линии, через протокол в URL 416 00:22:05,240 --> 00:22:08,010 или какой-то экран, что это по крайней мере, убеждая вас 417 00:22:08,010 --> 00:22:09,760 за то, чтобы идти дальше. 418 00:22:09,760 --> 00:22:12,540 И Google здесь приглашает Вы вернуться в безопасное место. 419 00:22:12,540 --> 00:22:17,120 >> Теперь, в данном случае, это просто означает, что Сертификат SSL, что мы использовали, 420 00:22:17,120 --> 00:22:22,220 большие, математически полезные номера , которые связаны с сервером CS50 в, 421 00:22:22,220 --> 00:22:23,949 больше не действует. 422 00:22:23,949 --> 00:22:26,490 И в самом деле, мы можем моделировать это, как вы можете на вашем ноутбуке. 423 00:22:26,490 --> 00:22:30,270 Если я иду в Chrome здесь, и пойдем в facebook.com, 424 00:22:30,270 --> 00:22:32,230 и, похоже, это безопасно. 425 00:22:32,230 --> 00:22:36,910 Но позвольте мне идти вперед теперь и нажмите на замок здесь. 426 00:22:36,910 --> 00:22:40,030 >> И позвольте мне перейти к связи, Информация о сертификате. 427 00:22:40,030 --> 00:22:42,020 И в самом деле, то, что вы будете см здесь куча 428 00:22:42,020 --> 00:22:46,160 из детали нижнего уровня около кто facebook.com самом деле. 429 00:22:46,160 --> 00:22:49,380 Кажется, что они заплатили деньги, чтобы Компания называется, может быть, DigiCert High 430 00:22:49,380 --> 00:22:54,420 Гарантия того, что обещал рассказать остальному миру 431 00:22:54,420 --> 00:22:57,250 что, если браузер постоянно видит certificate-- вы можете думать, 432 00:22:57,250 --> 00:23:00,291 из него буквально как свидетельство, что Похоже, этой дрянной вещи на вершине 433 00:23:00,291 --> 00:23:04,360 left-- то facebook.com, кто они говорят они, потому что все это время, когда 434 00:23:04,360 --> 00:23:07,160 Вы посещаете веб-сайт, как cs50.harvard.edu или facebook.com 435 00:23:07,160 --> 00:23:11,880 или gmail.com, что использовать HTTPS URL-адреса, за кулисами, 436 00:23:11,880 --> 00:23:15,190 есть такого рода сделки происходит автоматически 437 00:23:15,190 --> 00:23:18,060 для вас, в результате чего facebook.com, в данном случае, 438 00:23:18,060 --> 00:23:22,150 посылает на ваш браузер его так называемый сертификат SSL, или, вернее, 439 00:23:22,150 --> 00:23:23,380 его открытый ключ, 440 00:23:23,380 --> 00:23:25,600 а затем ваш браузер использует этот открытый ключ 441 00:23:25,600 --> 00:23:29,600 чтобы впоследствии отправить зашифрованное трафика к и от него. 442 00:23:29,600 --> 00:23:32,360 >> Но есть вся эта иерархия в мире компаний 443 00:23:32,360 --> 00:23:36,430 что вы платите деньги, чтобы кто будет Затем показания, в цифровом смысле, 444 00:23:36,430 --> 00:23:41,330 что вы действительно facebook.com или ваш сервер действительно cs50.harvard.edu. 445 00:23:41,330 --> 00:23:44,580 И построил в браузерах, как Chrome и IE и Firefox, 446 00:23:44,580 --> 00:23:48,260 представляет собой список всех тех, так называемые центры сертификации 447 00:23:48,260 --> 00:23:51,360 которые уполномочены Microsoft и Google и Mozilla 448 00:23:51,360 --> 00:23:55,410 чтобы подтвердить или опровергнуть, что facebook.com есть кто это говорит, что это. 449 00:23:55,410 --> 00:23:57,430 Но загвоздка в том, что эти вещи истекает. 450 00:23:57,430 --> 00:24:02,670 На самом деле, Facebook, похоже, он истекает в октябре этого года, в 2015 году. 451 00:24:02,670 --> 00:24:06,490 >> Таким образом, мы можем на самом деле симулировать это, если я перейти на мой Mac моим System Preferences, 452 00:24:06,490 --> 00:24:11,070 и я иду в дате и времени, и Я иду в Дата и время здесь, 453 00:24:11,070 --> 00:24:17,190 и я разблокировать эту here-- счастью, мы не выявили пароль этом time-- 454 00:24:17,190 --> 00:24:20,660 и теперь я иду вниз, чтобы снять это. 455 00:24:20,660 --> 00:24:25,660 И давайте actually-- ой, что это не так интересно, как это делать. 456 00:24:25,660 --> 00:24:30,140 Мы буквально в будущем сейчас, что означает, это то, что, как 2020. 457 00:24:30,140 --> 00:24:36,360 Если я сейчас перезагрузить page-- давайте сделаем это в Ingognito mode-- 458 00:24:36,360 --> 00:24:40,910 если я перезагрузить страницу, там мы идем. 459 00:24:40,910 --> 00:24:45,820 >> Так что теперь, мой компьютер думает это 2020, но мой браузер 460 00:24:45,820 --> 00:24:49,810 знает, что этот сертификат от Facebook истекает, конечно, в 2015 году. 461 00:24:49,810 --> 00:24:51,360 Так что это дает мне эту красную сообщение. 462 00:24:51,360 --> 00:24:53,550 Теперь, к счастью, браузеры как Chrome есть на самом деле 463 00:24:53,550 --> 00:24:55,480 сделал это довольно трудно перейти тем не менее. 464 00:24:55,480 --> 00:24:57,300 Они действительно хотят меня вернуться к безопасности. 465 00:24:57,300 --> 00:25:00,550 >> Если я нажимаю вот на Advance, это собираюсь рассказать мне некоторые подробности. 466 00:25:00,550 --> 00:25:02,580 И если я действительно хочу продолжить, они позволят 467 00:25:02,580 --> 00:25:06,250 мне идти в facebook.com, который, снова, небезопасно, и в этот момент 468 00:25:06,250 --> 00:25:08,310 Я буду видеть страницу на Facebook, как это. 469 00:25:08,310 --> 00:25:10,080 Но тогда другие вещи кажется, разрыв. 470 00:25:10,080 --> 00:25:12,825 Что, вероятно, нарушая в этот момент? 471 00:25:12,825 --> 00:25:13,700 АУДИТОРИЯ: JavaScript. 472 00:25:13,700 --> 00:25:15,540 Дэвид Дж Маланом: Как Сценарии JavaScript и / или CSS 473 00:25:15,540 --> 00:25:17,460 Файлы же встречая эту ошибку. 474 00:25:17,460 --> 00:25:19,830 Так что это просто плохая ситуация в целом. 475 00:25:19,830 --> 00:25:24,790 Но дело в том, что по крайней мере Facebook действительно имеет включен SSL 476 00:25:24,790 --> 00:25:30,040 для своих серверов, как многие веб-сайты, сделать, но не обязательно все. 477 00:25:30,040 --> 00:25:33,360 >> Но это не в одиночку вынос здесь. 478 00:25:33,360 --> 00:25:36,040 Оказывается, что даже SSL Было продемонстрировано 479 00:25:36,040 --> 00:25:37,810 чтобы быть в безопасности в некотором роде. 480 00:25:37,810 --> 00:25:40,400 Так что я вроде намекая, что SSL, хорошо. 481 00:25:40,400 --> 00:25:44,250 Ищите HTTPS URL-адреса, а жизнь хорошо, потому что все ваши HTTP-трафика 482 00:25:44,250 --> 00:25:46,180 и заголовки и содержимое зашифровано. 483 00:25:46,180 --> 00:25:49,560 >> Никто не может перехватить его в среднего, в течение так называемого человека, за исключением 484 00:25:49,560 --> 00:25:50,454 посередине. 485 00:25:50,454 --> 00:25:52,870 Это общая методика в мире безопасности известной 486 00:25:52,870 --> 00:25:54,420 как нападения мужчина-в-середине. 487 00:25:54,420 --> 00:25:57,067 Предположим, что вы это немного ноутбук здесь слева, 488 00:25:57,067 --> 00:25:59,900 и предположим, что вы пытаетесь посетить Сервер там справа, 489 00:25:59,900 --> 00:26:00,990 как facebook.com. 490 00:26:00,990 --> 00:26:03,940 >> Но предположим, что, в между вами и Facebook, 491 00:26:03,940 --> 00:26:07,750 это целая куча других серверов и оборудование, как коммутаторы и маршрутизаторы, 492 00:26:07,750 --> 00:26:11,530 DNS-серверы, DHCP серверы, ни один из которых мы контролируем. 493 00:26:11,530 --> 00:26:15,280 Это может управляться Starbucks или Гарвард или Comcast и тому подобное. 494 00:26:15,280 --> 00:26:18,090 Ну, предположим, что кто- злонамеренно, в вашей сети, 495 00:26:18,090 --> 00:26:20,800 между вами и Facebook, в состоянии сказать вам, 496 00:26:20,800 --> 00:26:24,740 что, вы знаете, что, IP адрес Facebook не то, что вы думаете. 497 00:26:24,740 --> 00:26:26,250 Именно этот IP вместо. 498 00:26:26,250 --> 00:26:28,740 >> И так в Вашем браузере обманом просьбой 499 00:26:28,740 --> 00:26:30,750 трафик от другого компьютер в целом. 500 00:26:30,750 --> 00:26:35,350 Ну, предположим, что компьютер просто смотрит на все 501 00:26:35,350 --> 00:26:38,859 трафика вы запрашиваете у Facebook и все веб-страниц 502 00:26:38,859 --> 00:26:40,400 что вы запрашиваете у Facebook. 503 00:26:40,400 --> 00:26:45,700 И в любое время он видит в вашем трафика URL, который начинается с HTTPS, 504 00:26:45,700 --> 00:26:49,250 это динамически, на летать, переписывает его в качестве HTTP. 505 00:26:49,250 --> 00:26:53,490 И в любое время он видит расположение Заголовок, расположение толстой кишки, 506 00:26:53,490 --> 00:26:55,930 как мы используем для перенаправления пользователь, тем тоже 507 00:26:55,930 --> 00:27:00,690 может быть изменено этим человеком в средний из HTTPS в HTTP. 508 00:27:00,690 --> 00:27:04,170 >> Таким образом, даже при том, что вы сами могли бы думаю, что ты в реальной Facebook, 509 00:27:04,170 --> 00:27:07,860 это не так сложно для противник с физическим доступом 510 00:27:07,860 --> 00:27:10,630 к сети, чтобы просто вернуться страниц вам, что 511 00:27:10,630 --> 00:27:12,650 выглядеть Gmail, что выглядеть Facebook, 512 00:27:12,650 --> 00:27:14,880 и действительно URL является идентичны, потому что они 513 00:27:14,880 --> 00:27:19,410 делая вид, что есть, что то же самое имя хоста из-за некоторой эксплуатации DNS 514 00:27:19,410 --> 00:27:21,340 или какой-либо другой системы, как, что. 515 00:27:21,340 --> 00:27:23,894 И результат, тогда, что мы, люди, могли бы только 516 00:27:23,894 --> 00:27:26,810 понимать, что, в порядке, это выглядит как Gmail или по крайней мере более старая версия, 517 00:27:26,810 --> 00:27:29,480 как это слайд из старше презентация. 518 00:27:29,480 --> 00:27:34,250 Но, похоже, this-- http://www.google.com. 519 00:27:34,250 --> 00:27:37,370 >> Так и здесь, в реальности является то, что, как многие из вас, 520 00:27:37,370 --> 00:27:41,290 когда вы идете в Facebook или Gmail или любой сайт, и вы знаете, кое-что 521 00:27:41,290 --> 00:27:47,060 о SSL, как многие из вас физически введите HTTPS: //, а затем сайт 522 00:27:47,060 --> 00:27:48,990 назвать, Enter. 523 00:27:48,990 --> 00:27:52,940 Большинство из нас просто наберите, как, CS50, хит Enter, или F-за Facebook 524 00:27:52,940 --> 00:27:54,770 и нажмите Ввод, и пусть это автозаполнение. 525 00:27:54,770 --> 00:27:57,620 Но за кулисами, если Вы следите за своим HTTP трафик, 526 00:27:57,620 --> 00:28:00,090 там, наверное, целая куча из этих заголовков местоположения 527 00:28:00,090 --> 00:28:03,580 что отправляете вас от Facebook, чтобы www.facebook.com 528 00:28:03,580 --> 00:28:07,250 в https://www.facebook.com. 529 00:28:07,250 --> 00:28:12,300 >> Так вот один или несколько HTTP транзакций где ваша информация полностью 530 00:28:12,300 --> 00:28:15,102 отправлено в малооблачно, без Шифрование бы то ни было. 531 00:28:15,102 --> 00:28:17,810 Теперь, что не может быть такой большой дело, если все, что вы пытаетесь сделать 532 00:28:17,810 --> 00:28:20,980 будет перейти на главную страницу, вы не отправив свой логин и пароль. 533 00:28:20,980 --> 00:28:23,130 Но что это под капот, особенно 534 00:28:23,130 --> 00:28:28,130 для PHP на основе веб-сайтов, которые также отправляется туда и обратно, когда 535 00:28:28,130 --> 00:28:33,820 Вы посетите некоторые веб-страницы, если что использует сайт, скажем, PHP 536 00:28:33,820 --> 00:28:37,370 и реализует функциональность как pset7? 537 00:28:37,370 --> 00:28:40,840 Что отправляется туда и обратно в заголовках HTTP, что дает вам 538 00:28:40,840 --> 00:28:44,903 Доступ к этой довольно полезно супер глобальный PHP? 539 00:28:44,903 --> 00:28:45,710 >> Аудитория: Печенье. 540 00:28:45,710 --> 00:28:49,020 >> Дэвид Дж Маланом: Печенье, В частности, PHP SESS ID печенья. 541 00:28:49,020 --> 00:28:53,100 Так напомним, если мы идем в, скажем, cs50.harvard.edu снова, 542 00:28:53,100 --> 00:28:56,440 но на этот раз, давайте откроем Сеть вкладка, и теперь, здесь, 543 00:28:56,440 --> 00:29:01,570 давайте буквально просто пойти в http://cs50.harvard.edu 544 00:29:01,570 --> 00:29:03,030 а затем нажмите Ввод. 545 00:29:03,030 --> 00:29:05,520 А потом смотреть на экран здесь. 546 00:29:05,520 --> 00:29:09,600 Обратите внимание, что мы действительно получили назад 301 переехал на постоянное жительство 547 00:29:09,600 --> 00:29:12,820 Сообщение, которое означает, что есть заголовок расположение здесь, 548 00:29:12,820 --> 00:29:15,610 который в настоящее время перенаправления меня HTTPS. 549 00:29:15,610 --> 00:29:21,330 >> Но загвоздка в том, что, если у меня уже был печенье штамп на моей руке практически, 550 00:29:21,330 --> 00:29:25,890 как мы уже обсуждали ранее, и Я человек вроде неосознанно 551 00:29:25,890 --> 00:29:29,090 просто посетить небезопасно версия, и мой браузер принимает его 552 00:29:29,090 --> 00:29:34,020 на себя, чтобы показать, что печать на руку для первый запрос, который через HTTP, 553 00:29:34,020 --> 00:29:36,610 кто в середине, любой противник в середине, 554 00:29:36,610 --> 00:29:39,380 теоретически может просто посмотреть эти HTTP заголовки, просто 555 00:29:39,380 --> 00:29:40,980 как мы смотрим на них здесь. 556 00:29:40,980 --> 00:29:43,310 Это только когда вы находитесь разговаривает с HTTPS 557 00:29:43,310 --> 00:29:47,780 URL ли это, рука сама марка получить шифруется, а-ля Цезарь или Vigenere, 558 00:29:47,780 --> 00:29:50,500 но с более необычном алгоритма в целом. 559 00:29:50,500 --> 00:29:53,611 Так и здесь, даже если веб-сайты используют HTTPS, 560 00:29:53,611 --> 00:29:56,860 мы, люди, были обусловлены, благодаря для автозавершения и других методов, 561 00:29:56,860 --> 00:29:59,827 даже не думать о потенциальные последствия. 562 00:29:59,827 --> 00:30:01,160 Теперь, есть способы обойти это. 563 00:30:01,160 --> 00:30:03,140 Например, многие веб-сайты могут быть сконфигурированы 564 00:30:03,140 --> 00:30:05,848 так что, как только вы это рука печать, вы можете сообщить браузеру, 565 00:30:05,848 --> 00:30:07,750 эта рука штамп только для соединений SSL. 566 00:30:07,750 --> 00:30:11,702 Браузер не должно представлять это для меня, если это не более чем SSL. 567 00:30:11,702 --> 00:30:13,410 Но многие сайты не беспокойтесь, что. 568 00:30:13,410 --> 00:30:17,260 И много сайтов, видимо, даже не потрудились с SSL вообще. 569 00:30:17,260 --> 00:30:20,540 >> Таким образом, для более от того, что есть на самом деле даже больше грязи в этой презентации 570 00:30:20,540 --> 00:30:24,010 что парень дал в так называемый черный шляпа конференция пару лет назад, 571 00:30:24,010 --> 00:30:26,468 где есть даже друга вредоносные трюки люди использовали. 572 00:30:26,468 --> 00:30:28,630 Вы, возможно, помните это Понятие Favicon, который 573 00:30:28,630 --> 00:30:32,270 это как маленький логотип, это часто в окне браузера. 574 00:30:32,270 --> 00:30:34,610 Ну, то, что было распространено среди плохих парней 575 00:30:34,610 --> 00:30:36,340 сделать потрясающие иконки, которые выглядят как что? 576 00:30:36,340 --> 00:30:39,054 577 00:30:39,054 --> 00:30:39,970 АУДИТОРИЯ: [неразборчиво]. 578 00:30:39,970 --> 00:30:40,280 Дэвид Дж Маланом: снова сказать? 579 00:30:40,280 --> 00:30:41,490 Аудитория: сайты. 580 00:30:41,490 --> 00:30:42,130 Дэвид Дж Маланом: Не сайт. 581 00:30:42,130 --> 00:30:43,394 Так иконка сайта, крошечный значок. 582 00:30:43,394 --> 00:30:45,560 Что было бы наиболее злой, манипулятивная вещь 583 00:30:45,560 --> 00:30:47,832 Вы могли бы сделать мой веб-сайт значок по умолчанию выглядит? 584 00:30:47,832 --> 00:30:48,790 АУДИТОРИЯ: зеленый замок. 585 00:30:48,790 --> 00:30:49,080 Дэвид Дж Маланом: Что это? 586 00:30:49,080 --> 00:30:50,160 АУДИТОРИЯ: маленький зеленый замок. 587 00:30:50,160 --> 00:30:51,960 Дэвид Дж Маланом: Как зеленый замок, точно. 588 00:30:51,960 --> 00:30:55,242 Таким образом, вы можете иметь это эстетическая о маленьком зеленом замком, 589 00:30:55,242 --> 00:30:57,950 намекая на мир, о, мы обеспечить, когда, опять же, все это означает, 590 00:30:57,950 --> 00:31:00,210 является то, что вы знаете, некоторые HTML. 591 00:31:00,210 --> 00:31:02,895 Так сессия угон относится к именно это. 592 00:31:02,895 --> 00:31:05,936 Если у вас есть кто-то, кто-то нюхает эфир в этой комнате здесь 593 00:31:05,936 --> 00:31:09,150 или имеет физический доступ к Сеть и видите куки, 594 00:31:09,150 --> 00:31:12,152 он или она может захватить, что PHP SESS ID печенья. 595 00:31:12,152 --> 00:31:13,860 А потом, если они хватит здравого смысла, чтобы знать, 596 00:31:13,860 --> 00:31:18,200 как отправить что печенье, как свои собственные ручной штамп просто копируя это значение 597 00:31:18,200 --> 00:31:20,860 и отправкой заголовков HTTP, кто-то мог очень легко 598 00:31:20,860 --> 00:31:23,510 войти в любой из Facebook счета или Gmail счета 599 00:31:23,510 --> 00:31:27,355 или Twitter счета, которые здесь, открытых в комнате, если вы не используете SSL 600 00:31:27,355 --> 00:31:31,500 и если сайт не правильно используя SSL. 601 00:31:31,500 --> 00:31:33,690 >> Так что давайте переход к другому. 602 00:31:33,690 --> 00:31:34,700 Так что другой правдивая история. 603 00:31:34,700 --> 00:31:38,680 И это просто сломал в Новости за неделю или две назад. 604 00:31:38,680 --> 00:31:41,520 Verizon было делать очень зло, 605 00:31:41,520 --> 00:31:45,110 и как лучшие люди могут сказать, по крайней мере с 2012 года, в результате чего, 606 00:31:45,110 --> 00:31:51,550 при доступе сайты через Verizon телефон, все, что производитель это, 607 00:31:51,550 --> 00:31:54,150 они были дерзко, как гласит история, 608 00:31:54,150 --> 00:31:59,890 введения в все ваши HTTP трафик самостоятельно заголовок HTTP. 609 00:31:59,890 --> 00:32:04,040 А этот заголовок выглядит как this-- X-UIDH. 610 00:32:04,040 --> 00:32:06,465 UID, как уникальный Идентификатор или ID пользователя. 611 00:32:06,465 --> 00:32:09,660 И X просто означает, что этот обычай заголовок, который не стандарт. 612 00:32:09,660 --> 00:32:11,720 >> Но что это означает является то, что, если я тяну вверх, 613 00:32:11,720 --> 00:32:14,640 Например, любой сайт на мой телефон here-- 614 00:32:14,640 --> 00:32:18,310 и я использую Verizon в качестве моего carrier-- хотя мой браузер не может 615 00:32:18,310 --> 00:32:21,110 посылать это HTTP заголовок, Verizon, как только 616 00:32:21,110 --> 00:32:23,650 как сигнал достигает своих телефон башня где-то, 617 00:32:23,650 --> 00:32:28,187 был на некоторое время инъекционных это заголовок во все наше HTTP-трафика. 618 00:32:28,187 --> 00:32:29,020 Почему они это делают? 619 00:32:29,020 --> 00:32:31,920 Предположительно по причинам слежения, в рекламных причинам. 620 00:32:31,920 --> 00:32:36,280 >> Но идиотский дизайнерское решение здесь является то, что заголовок HTTP, 621 00:32:36,280 --> 00:32:41,090 как вы, ребята, знаете из pset6, получен любым веб-сервером 622 00:32:41,090 --> 00:32:42,540 что вы с просьбой трафик. 623 00:32:42,540 --> 00:32:44,248 Так что все это время, если Вы посещали 624 00:32:44,248 --> 00:32:48,019 Facebook или Gmail или любой веб-сайт что не использует SSL все time-- 625 00:32:48,019 --> 00:32:49,810 и на самом деле, те, два счастью сейчас do-- 626 00:32:49,810 --> 00:32:52,670 но и другие сайты, которые не используйте SSL все время, 627 00:32:52,670 --> 00:32:54,930 Verizon имеет существенно были посадки, насильно, 628 00:32:54,930 --> 00:32:58,180 ручной штамп на все наши Руки, что даже мы не видим, 629 00:32:58,180 --> 00:33:00,330 а концевые сайты делать. 630 00:33:00,330 --> 00:33:02,890 И так он не был, что трудно для тех, кто в Интернете 631 00:33:02,890 --> 00:33:05,245 работает веб-сервер на реализовать, ох, это Дэвид, 632 00:33:05,245 --> 00:33:09,340 или, ох, это Дэвин, даже если мы Строгое об очистке куки, 633 00:33:09,340 --> 00:33:10,772 потому что это не от нас. 634 00:33:10,772 --> 00:33:11,980 Он идет от перевозчика. 635 00:33:11,980 --> 00:33:14,896 >> Они делают поиск на свой номер телефона а потом говорят, ой, это Дэвид. 636 00:33:14,896 --> 00:33:18,890 Позвольте мне вводить уникальный идентификатор, так что наши рекламодатели или кто может 637 00:33:18,890 --> 00:33:19,850 отслеживать это. 638 00:33:19,850 --> 00:33:23,769 Так что это на самом деле очень, очень, очень плохо и ужасно. 639 00:33:23,769 --> 00:33:26,060 И я хотел бы призвать вас, чтобы посмотрите, например, 640 00:33:26,060 --> 00:33:29,950 по этому адресу, который я должен отказываемся Я на самом деле пытался это сегодня утром. 641 00:33:29,950 --> 00:33:31,970 Я написал небольшой скрипт, положить его на этом URL, 642 00:33:31,970 --> 00:33:34,770 посетил его с моим собственным Verizon Мобильный телефон после включения Wi-Fi выключен. 643 00:33:34,770 --> 00:33:38,010 Таким образом, вы должны включить Wi-Fi от так, что Вы используете 3G или LTE или тому подобное. 644 00:33:38,010 --> 00:33:40,010 А потом, если вы посетите этот адрес, все это сценарий 645 00:33:40,010 --> 00:33:41,770 делает для вас, ребята, если Вы хотели бы играть, 646 00:33:41,770 --> 00:33:45,380 будет он выплевывает то, что HTTP заголовки Ваш телефон посылает на наш сервер. 647 00:33:45,380 --> 00:33:48,510 И я на самом деле, справедливости ради, сделал не вижу в этом сегодня утром, что 648 00:33:48,510 --> 00:33:51,430 заставляет меня думать, либо местный телефон башня я был связан с 649 00:33:51,430 --> 00:33:55,160 или еще много чего не делать это, или у них есть отступили сделать это временно. 650 00:33:55,160 --> 00:33:58,160 Но для получения более подробной информации, чтобы направиться в этом URL здесь. 651 00:33:58,160 --> 00:34:00,680 >> И теперь, чтобы this-- это комикс может иметь смысл. 652 00:34:00,680 --> 00:34:03,530 653 00:34:03,530 --> 00:34:04,030 Нет? 654 00:34:04,030 --> 00:34:04,530 Хорошо. 655 00:34:04,530 --> 00:34:05,390 Хорошо. 656 00:34:05,390 --> 00:34:06,310 Это умер. 657 00:34:06,310 --> 00:34:07,240 Хорошо. 658 00:34:07,240 --> 00:34:11,330 >> Итак, давайте взглянем на пару больше атаки, если только для повышения осведомленности о 659 00:34:11,330 --> 00:34:13,179 а затем предложить пару потенциальные решения 660 00:34:13,179 --> 00:34:14,430 так что вы все еще помня. 661 00:34:14,430 --> 00:34:17,305 Это один мы говорили о другом день, но не дает ему название. 662 00:34:17,305 --> 00:34:22,360 Это подделка запроса кросс-сайт, который является чрезмерно причудливый способ сказать 663 00:34:22,360 --> 00:34:26,489 Вы заставляет пользователя нажатия на URL, как это, которые трюки них 664 00:34:26,489 --> 00:34:28,280 в какой-то поведение, которое они не намерены. 665 00:34:28,280 --> 00:34:30,710 >> В этом случае, это, кажется, чтобы пытаться обмануть меня 666 00:34:30,710 --> 00:34:32,920 в продаже мои акции Google. 667 00:34:32,920 --> 00:34:36,810 И это будет успех, если Я, программист из pset7, 668 00:34:36,810 --> 00:34:40,409 не сделали то, что? 669 00:34:40,409 --> 00:34:44,739 Или, скорее, в более общем плане, в том, что случаи я уязвимы для нападения 670 00:34:44,739 --> 00:34:49,460 если кто-то трюки другим пользователем в нажав URL вроде этого? 671 00:34:49,460 --> 00:34:49,960 Да? 672 00:34:49,960 --> 00:34:52,500 >> АУДИТОРИЯ: Вы не различают между GET и POST. 673 00:34:52,500 --> 00:34:52,760 >> Дэвид Дж Маланом: Хорошо. 674 00:34:52,760 --> 00:34:54,850 Если мы не различаем между GET и POST, 675 00:34:54,850 --> 00:34:57,950 и в самом деле, если мы позволим GET для продажи вещи, 676 00:34:57,950 --> 00:35:00,284 мы приглашаем такого рода атаки. 677 00:35:00,284 --> 00:35:01,950 Но мы все еще можем смягчить ее несколько. 678 00:35:01,950 --> 00:35:04,283 И я заметил, я думаю, на прошлой неделе, что Amazon по крайней мере, 679 00:35:04,283 --> 00:35:08,180 пытается смягчить это с техникой это довольно просто. 680 00:35:08,180 --> 00:35:11,860 Что бы умные вещи сделать быть на вашем сервере, 681 00:35:11,860 --> 00:35:14,652 а не просто слепо продаже все символ пользователь вводит в? 682 00:35:14,652 --> 00:35:15,984 АУДИТОРИЯ: Подтверждение сортов? 683 00:35:15,984 --> 00:35:19,320 Дэвид Дж Маланом: экран подтверждения, что-то с участием человеческого взаимодействия 684 00:35:19,320 --> 00:35:21,300 так что я вынужден сделать личный выбор, 685 00:35:21,300 --> 00:35:23,930 даже если я наивно нажал ссылка, которая выглядит следующим образом 686 00:35:23,930 --> 00:35:27,760 и привел меня к экрану клеток, в мере попросил меня, чтобы подтвердить или опровергнуть. 687 00:35:27,760 --> 00:35:32,460 Но не редкость нападение, особенно в так называемой фишинга или спама-как 688 00:35:32,460 --> 00:35:33,280 нападения. 689 00:35:33,280 --> 00:35:34,890 >> Теперь, этот немного более тонким. 690 00:35:34,890 --> 00:35:37,060 Это кросс-сайт скриптинг атаки. 691 00:35:37,060 --> 00:35:39,250 И это произойдет, если ваш Сайт не использует 692 00:35:39,250 --> 00:35:41,260 эквивалент htmlspecialchars. 693 00:35:41,260 --> 00:35:45,160 И это занимает пользовательский ввод и просто слепо инъекционных его в веб-страницу, 694 00:35:45,160 --> 00:35:48,170 как с печатью или эхо, with-- again-- из называя то 695 00:35:48,170 --> 00:35:49,710 как htmlspecialchars. 696 00:35:49,710 --> 00:35:52,602 >> Поэтому предположим, веб-сайт в Вопрос в том, vulnerable.com. 697 00:35:52,602 --> 00:35:55,620 И пусть он принимает параметр, называемый д. 698 00:35:55,620 --> 00:35:59,040 Посмотрите, что может произойти, Если бы я на самом деле, плохой парень, 699 00:35:59,040 --> 00:36:02,360 введите или заставляет пользователя посещение URL, который выглядит как this-- 700 00:36:02,360 --> 00:36:05,900 д = открыт тег скрипт, закрыт тег сценария. 701 00:36:05,900 --> 00:36:08,480 И снова, я предполагаю, что vulnerable.com не 702 00:36:08,480 --> 00:36:11,740 собирается превратить опасно символы, такие как открытые скобки 703 00:36:11,740 --> 00:36:15,570 в HTML лиц, амперсанд, L-Т, точка с запятой, что 704 00:36:15,570 --> 00:36:17,090 что вы, возможно, видели раньше. 705 00:36:17,090 --> 00:36:18,900 >> Но то, что это сценарий или JavaScript код 706 00:36:18,900 --> 00:36:21,160 Я пытаюсь обмануть Пользователь в исполнении? 707 00:36:21,160 --> 00:36:25,420 Ну, document.location относится к текущему адресу моего браузера. 708 00:36:25,420 --> 00:36:29,400 Так что, если я делаю document.location =, это позволяет мне перенаправить пользователя 709 00:36:29,400 --> 00:36:30,830 в JavaScript на другом веб-сайте. 710 00:36:30,830 --> 00:36:34,290 Это как наш функции PHP перенаправить, но сделано в JavaScript. 711 00:36:34,290 --> 00:36:35,900 >> Где я пытаюсь отправить пользователю? 712 00:36:35,900 --> 00:36:40,110 Ну, по-видимому, badguy.com/log.php, который некоторые сценарий, по-видимому, 713 00:36:40,110 --> 00:36:43,530 плохой парень написал, что берет Параметр называется печенье. 714 00:36:43,530 --> 00:36:46,790 >> И заметьте, что мне кажется, объединения 715 00:36:46,790 --> 00:36:49,190 на конец этого знака равенства? 716 00:36:49,190 --> 00:36:52,030 Ну, что-то, что говорит document.cookie. 717 00:36:52,030 --> 00:36:53,320 Мы не говорили об этом. 718 00:36:53,320 --> 00:36:55,730 Но, оказывается, в JavaScript, как и в PHP, 719 00:36:55,730 --> 00:36:59,770 Вы можете получить доступ ко всем печенье Возможно, ваш браузер на самом деле использует. 720 00:36:59,770 --> 00:37:02,180 >> Так эффектом этого строка кода, если пользователь 721 00:37:02,180 --> 00:37:06,440 обманом перейдя по этой ссылке а сайт vulnerable.com не 722 00:37:06,440 --> 00:37:10,000 избежать его с htmlspecialchars, является то, что у вас есть только эффективно 723 00:37:10,000 --> 00:37:13,660 загружены на log.php все ваши куки. 724 00:37:13,660 --> 00:37:17,300 И это не всегда, что проблематично, кроме, если один из этих куки 725 00:37:17,300 --> 00:37:20,040 Ваш идентификатор сеанса, ваш так называемый ручной штамп, который 726 00:37:20,040 --> 00:37:26,470 означает badguy.com может сделать его или ее собственный HTTP запросы, отправка тот же руку 727 00:37:26,470 --> 00:37:30,210 штамп, что же заголовок печенье, и войти в любой сайт 728 00:37:30,210 --> 00:37:33,680 Вы посещали, который в этот случай vulnerable.com. 729 00:37:33,680 --> 00:37:35,940 Это кросс-сайт скриптинг Нападение в том смысле, 730 00:37:35,940 --> 00:37:38,130 что вы вроде обмана один сайт в рассказывая 731 00:37:38,130 --> 00:37:43,560 другой веб-сайт о какой-то информации он не должен, на самом деле, имеют доступ к. 732 00:37:43,560 --> 00:37:46,510 >> Ладно, готов для одного другой тревожная деталь? 733 00:37:46,510 --> 00:37:49,970 Ладно, мир страшное место, законно так. 734 00:37:49,970 --> 00:37:52,480 Вот простой Пример JavaScript это 735 00:37:52,480 --> 00:37:54,847 в современном исходного кода называется геолокации 0 и 1. 736 00:37:54,847 --> 00:37:56,930 И есть пара пошаговые онлайн для этого. 737 00:37:56,930 --> 00:37:59,920 >> И это следующее, если I открыть эту веб-страницу в Chrome. 738 00:37:59,920 --> 00:38:04,590 Это первый ничего не делает. 739 00:38:04,590 --> 00:38:07,300 ОК, мы постараемся это снова. 740 00:38:07,300 --> 00:38:07,800 О. 741 00:38:07,800 --> 00:38:10,990 742 00:38:10,990 --> 00:38:13,370 Нет, он должен что-то сделать. 743 00:38:13,370 --> 00:38:16,500 ОК, стоять. 744 00:38:16,500 --> 00:38:18,200 >> Давайте попробуем это еще раз. 745 00:38:18,200 --> 00:38:21,285 746 00:38:21,285 --> 00:38:21,785 [Неразборчиво] 747 00:38:21,785 --> 00:38:26,941 748 00:38:26,941 --> 00:38:29,444 Ах, хорошо, не знаю, почему the-- о, прибор 749 00:38:29,444 --> 00:38:31,360 вероятно, потерял Интернет Доступ по некоторым причинам. 750 00:38:31,360 --> 00:38:32,840 Ладно, так происходит со мной, тоже. 751 00:38:32,840 --> 00:38:34,650 >> Ладно, так уведомление что происходит здесь. 752 00:38:34,650 --> 00:38:37,300 Это загадочное вида URL, который является лишь одним из сервера CS50, 753 00:38:37,300 --> 00:38:41,130 хочет использовать мой компьютера Место, как физически это означает. 754 00:38:41,130 --> 00:38:45,160 И если, действительно, я нажимаю на Разрешить, давайте посмотрим, что произойдет. 755 00:38:45,160 --> 00:38:49,030 Видимо, это моя текущая широта и продольная координаты вниз 756 00:38:49,030 --> 00:38:51,660 к чертовски хорошим разрешением. 757 00:38:51,660 --> 00:38:53,310 >> Так как же я могу получить на это? 758 00:38:53,310 --> 00:38:57,620 Как это веб-сайт, как CS50 сервере, знаю физически, где в мире 759 00:38:57,620 --> 00:38:59,600 Я, не говоря уже о том точностью. 760 00:38:59,600 --> 00:39:01,990 Ну, получается out-- давайте просто посмотреть на source-- страницу в 761 00:39:01,990 --> 00:39:05,280 что здесь есть куча HTML в нижняя, что первый имеет this-- 762 00:39:05,280 --> 00:39:09,080 Тело OnLoad = "географическое" - просто функция я писал. 763 00:39:09,080 --> 00:39:11,840 >> И я говорю, от нагрузки страница, называют географическое. 764 00:39:11,840 --> 00:39:13,750 И тогда нет ничего в теле, потому 765 00:39:13,750 --> 00:39:16,270 в голове страницы, заметить, что у меня здесь. 766 00:39:16,270 --> 00:39:18,090 Вот моя функция географическое. 767 00:39:18,090 --> 00:39:23,560 И это только некоторые ошибки checking-- если тип navigator.geolocation 768 00:39:23,560 --> 00:39:24,490 не определено. 769 00:39:24,490 --> 00:39:26,240 Так JavaScript имеет это Механизм, где вас 770 00:39:26,240 --> 00:39:28,270 , можно сказать, что это тип этой переменной? 771 00:39:28,270 --> 00:39:30,790 И если это не undefined-- это означает, что некоторые value-- 772 00:39:30,790 --> 00:39:35,940 Я собираюсь позвонить navigator.geolocation.getCurrentPosition 773 00:39:35,940 --> 00:39:37,230 а затем обратного вызова. 774 00:39:37,230 --> 00:39:37,750 >> Что это? 775 00:39:37,750 --> 00:39:39,916 Таким образом, в целом, что является обратного вызова, просто чтобы было ясно? 776 00:39:39,916 --> 00:39:42,890 Вы, возможно, столкнулись это уже в pset8. 777 00:39:42,890 --> 00:39:44,790 Ответный это родовое Срок делать что? 778 00:39:44,790 --> 00:39:48,430 779 00:39:48,430 --> 00:39:49,554 По ощущениям просто мне сегодня. 780 00:39:49,554 --> 00:39:50,470 АУДИТОРИЯ: [неразборчиво]. 781 00:39:50,470 --> 00:39:53,322 782 00:39:53,322 --> 00:39:55,280 Дэвид Дж Маланом: Ровно, функция, которая должна 783 00:39:55,280 --> 00:39:57,330 назвать только тогда, когда у нас есть данные. 784 00:39:57,330 --> 00:40:01,510 Этот призыв к браузеру, получить свой ток Положение, может занять одну миллисекунду, 785 00:40:01,510 --> 00:40:02,720 это может занять минуту. 786 00:40:02,720 --> 00:40:06,960 Что это означает, мы говорим Метод Get getCurrentPosition, 787 00:40:06,960 --> 00:40:09,910 вызвать эту функцию обратного вызова, которые я буквально имени обратного вызова 788 00:40:09,910 --> 00:40:13,150 Для простоты, который по-видимому, это один здесь. 789 00:40:13,150 --> 00:40:16,290 >> И то, как getCurrentPosition работает, просто читая документацию 790 00:40:16,290 --> 00:40:19,540 по какой-то код JavaScript онлайн, является что она называет, что так называемый обратный вызов 791 00:40:19,540 --> 00:40:23,220 Функция, передает его в это объект JavaScript, 792 00:40:23,220 --> 00:40:28,970 внутри которого находится .coords.latitude и .coords.longitude, 793 00:40:28,970 --> 00:40:32,140 который, как именно, то, когда я перезарядил эту страницу, 794 00:40:32,140 --> 00:40:33,985 Я смог увидеть свое местоположение здесь. 795 00:40:33,985 --> 00:40:35,610 Теперь, по крайней мере, была оборона здесь. 796 00:40:35,610 --> 00:40:37,820 Прежде, чем я посетил эту страницу, когда он действительно работал, 797 00:40:37,820 --> 00:40:40,935 о чем я, по крайней мере запросе? 798 00:40:40,935 --> 00:40:42,180 >> АУДИТОРИЯ: [неразборчиво]. 799 00:40:42,180 --> 00:40:44,200 >> Дэвид Дж Маланом: Да или no-- делать Вы хотите разрешить или запретить это? 800 00:40:44,200 --> 00:40:46,630 Но думаю, тоже, о привычках вы, ребята, наверное, принял, 801 00:40:46,630 --> 00:40:48,330 как на ваших телефонов и ваших браузеров. 802 00:40:48,330 --> 00:40:50,390 Многие из нас, сам включены, являются, вероятно, 803 00:40:50,390 --> 00:40:54,960 довольно предрасположен них days-- вас см всплывающее, просто Enter, ОК, утверждает, 804 00:40:54,960 --> 00:40:55,730 Разрешить. 805 00:40:55,730 --> 00:40:59,070 И все чаще, вы можете положить сами в опасности для этих причин. 806 00:40:59,070 --> 00:41:03,280 >> Таким образом, в самом деле, там был этот замечательный ошибка несколько лет ago-- или отсутствие feature-- 807 00:41:03,280 --> 00:41:08,250 что Itunes было несколько лет назад, в результате чего, если у вас есть сотовый телефон, 808 00:41:08,250 --> 00:41:12,000 и это было iPhone, и вы оставили свой дом 809 00:41:12,000 --> 00:41:15,600 и, следовательно, путешествовал по всему миру или район, все это время, 810 00:41:15,600 --> 00:41:17,819 Ваш телефон был вход где вы находитесь с помощью GPS. 811 00:41:17,819 --> 00:41:20,610 И это на самом деле раскрывается, и люди отчасти ожидаете это сейчас. 812 00:41:20,610 --> 00:41:21,930 Ваш телефон знает, где вы находитесь. 813 00:41:21,930 --> 00:41:24,990 Но проблема в том, что, когда вы были резервное копирование 814 00:41:24,990 --> 00:41:29,260 телефон для iTunes-- это было раньше дни ICloud, что на к лучшему 815 00:41:29,260 --> 00:41:33,960 или для worse-- данные хранятся в Itunes, полностью в незашифрованном виде. 816 00:41:33,960 --> 00:41:37,370 Так что если у вас есть семья или соседи по комнате или вредоносная сосед кто 817 00:41:37,370 --> 00:41:41,430 любопытно буквально каждый GPS координировать вы когда-либо были, 818 00:41:41,430 --> 00:41:43,300 он или она могли бы просто сесть на Itunes, запустить 819 00:41:43,300 --> 00:41:46,540 некоторые программы, которые были свободно доступные и составления карт, как это. 820 00:41:46,540 --> 00:41:48,680 >> На самом деле, это то, что я производится из моего собственного телефона. 821 00:41:48,680 --> 00:41:49,380 Я включил его в. 822 00:41:49,380 --> 00:41:51,670 И, похоже, на основе на синих точек там, 823 00:41:51,670 --> 00:41:53,900 вот где большинство координаты GPS были 824 00:41:53,900 --> 00:41:56,680 вошли по Itunes, что я был на северо-востоке там. 825 00:41:56,680 --> 00:42:00,030 Но я, видимо, путешествовал по немного, даже в Массачусетсе. 826 00:42:00,030 --> 00:42:01,950 >> Так вот Boston Harbor там справа. 827 00:42:01,950 --> 00:42:04,430 Это своего рода Кембридж и Бостон, где это темное. 828 00:42:04,430 --> 00:42:07,660 И время от времени, я бы запустить поручения в большей географии. 829 00:42:07,660 --> 00:42:11,464 >> Но Itunes, в течение многих лет, были, как лучше Я мог бы сказать, все эти данные на меня. 830 00:42:11,464 --> 00:42:13,380 Вы могли бы сказать, что, в том же году, я был на самом деле 831 00:42:13,380 --> 00:42:17,990 много путешествовал между Бостоне и Нью-Йорк, ходит взад и вперед 832 00:42:17,990 --> 00:42:18,830 и туда и обратно. 833 00:42:18,830 --> 00:42:22,660 И в самом деле, это меня на железнодорожный вокзал, обратно и вперед, взад и вперед, совсем немного. 834 00:42:22,660 --> 00:42:25,970 Все, что было после входа и хранятся в зашифрованном виде на компьютере 835 00:42:25,970 --> 00:42:28,520 для тех, кто, возможно, Доступ к моему компьютеру. 836 00:42:28,520 --> 00:42:29,480 >> Это было тревожным. 837 00:42:29,480 --> 00:42:32,180 Я не знаю, почему я был в Пенсильвании или почему 838 00:42:32,180 --> 00:42:35,277 мой телефон был в Пенсильвании, по-видимому, довольно плотно. 839 00:42:35,277 --> 00:42:37,360 И вот, наконец, я посмотрел на мой Гкал, и, о, я 840 00:42:37,360 --> 00:42:39,880 посетил CMU, Карнеги Меллон, в то время. 841 00:42:39,880 --> 00:42:42,031 И уф, что вид пояснил, что всплеск. 842 00:42:42,031 --> 00:42:43,780 А потом, если увеличить из дальнейшего, вы можете 843 00:42:43,780 --> 00:42:46,850 см я посетил Сан-Франциско один или несколько раз, затем, 844 00:42:46,850 --> 00:42:51,140 и я даже была остановка в то, что Я думаю, что это Вегас, там, внизу. 845 00:42:51,140 --> 00:42:54,120 Так что все this-- просто остановка, в аэропорту. 846 00:42:54,120 --> 00:42:56,420 >> АУДИТОРИЯ: [Смех] 847 00:42:56,420 --> 00:43:00,760 >> Так что это только, чтобы сказать, что эти проблемы, честно, вездесущи. 848 00:43:00,760 --> 00:43:02,780 И это только чувствует более нравится есть 849 00:43:02,780 --> 00:43:05,810 все больше и больше этого раскрываются, который является, наверное, хорошо. 850 00:43:05,810 --> 00:43:08,390 Полагаю, мир не ухудшается при написания программного обеспечения. 851 00:43:08,390 --> 00:43:10,520 Мы улучшаем, будем надеяться, на замечая 852 00:43:10,520 --> 00:43:13,037 как плохо определенное программное обеспечение является то, что мы используем. 853 00:43:13,037 --> 00:43:14,870 И к счастью, некоторые компании начинают 854 00:43:14,870 --> 00:43:17,080 чтобы нести ответственность за это. 855 00:43:17,080 --> 00:43:19,080 >> Но какие виды защит может вы имеете в виду? 856 00:43:19,080 --> 00:43:23,610 Так, помимо менеджеров паролей, как 1Password и LastPass и другие, 857 00:43:23,610 --> 00:43:27,340 Кроме того, только изменив пароли и придумывать случайных них 858 00:43:27,340 --> 00:43:29,700 с помощью программного обеспечения, как что, вы также можете попробовать 859 00:43:29,700 --> 00:43:31,700 как можно лучше, чтобы зашифровать все ваши движения 860 00:43:31,700 --> 00:43:34,680 по крайней мере, сузить зону угрозы. 861 00:43:34,680 --> 00:43:38,100 Так, например, в качестве Гарварда филиалов, Вы все можете пойти в vpn.harvard.edu 862 00:43:38,100 --> 00:43:41,010 и войти с ID Гарвардского и PIN-код. 863 00:43:41,010 --> 00:43:49,350 И это создаст безопасный связь между вами и Гарварде. 864 00:43:49,350 --> 00:43:51,150 >> Теперь, что не обязательно защитить вас 865 00:43:51,150 --> 00:43:54,360 от любых угроз, которые между Гарвардский и Facebook или Гарвард 866 00:43:54,360 --> 00:43:54,861 и Gmail. 867 00:43:54,861 --> 00:43:56,735 Но если вы сидите в аэропорту или вы 868 00:43:56,735 --> 00:43:59,260 сидя в Starbucks или вы сидя на месте друга, 869 00:43:59,260 --> 00:44:02,730 и вы действительно не доверять им или их Конфигурация их домашний маршрутизатор, 870 00:44:02,730 --> 00:44:04,970 по крайней мере, вы можете установить безопасное соединение 871 00:44:04,970 --> 00:44:10,260 в сущности, как это место, это вероятно, немного лучше обеспечены 872 00:44:10,260 --> 00:44:12,437 чем-то вроде Starbucks или тому подобное. 873 00:44:12,437 --> 00:44:14,270 И то, что это делает он устанавливает, опять же, 874 00:44:14,270 --> 00:44:16,300 шифрование между вами и конечной точки. 875 00:44:16,300 --> 00:44:17,880 >> Даже любитель такие вещи, как это. 876 00:44:17,880 --> 00:44:20,000 Таким образом, некоторые из вас, возможно, уже быть знакомы с Tor, 877 00:44:20,000 --> 00:44:22,930 который является такого рода обезличивания сеть, в результате чего много людей, 878 00:44:22,930 --> 00:44:26,640 если они запустить эту программу, маршрут Впоследствии их интернет 879 00:44:26,640 --> 00:44:27,990 трафика через друг друга. 880 00:44:27,990 --> 00:44:31,460 Так самый короткий Дело в том, больше не между А и В. 881 00:44:31,460 --> 00:44:35,850 Но это могло бы быть во всем разместить таким образом, чтобы вы по существу 882 00:44:35,850 --> 00:44:40,742 охватывающих свои треки и оставляя меньше рекордного о том, где ваш HTTP 883 00:44:40,742 --> 00:44:43,950 трафик пришел, потому что это будет через целую кучу других людей 884 00:44:43,950 --> 00:44:45,990 ноутбуки или настольные компьютеры, к лучшему или к худшему. 885 00:44:45,990 --> 00:44:48,180 >> Но даже это не верный вещь. 886 00:44:48,180 --> 00:44:51,560 Некоторые из вас могут вспомнить в прошлом году бомба паника, что называлось в. 887 00:44:51,560 --> 00:44:54,662 И это прослеживалось в конечном счете, к Пользователь, который использовал эту сеть здесь. 888 00:44:54,662 --> 00:44:57,870 И улов там, насколько я помню, это, если нет то, что многие другие люди 889 00:44:57,870 --> 00:45:02,190 с использованием программного обеспечения, как это или используя этот порт и протокол, 890 00:45:02,190 --> 00:45:06,250 это не так сложно для сети, чтобы даже выяснить, кто, с некоторой вероятностью, 891 00:45:06,250 --> 00:45:08,950 был на самом деле анонимных его или ее движения. 892 00:45:08,950 --> 00:45:12,030 >> И я не знаю, если это были фактические сведения о которых идет речь. 893 00:45:12,030 --> 00:45:15,400 Но, конечно, не понимают, что ни один из это верный решения, а также. 894 00:45:15,400 --> 00:45:18,820 И цель здесь сегодня, чтобы хотя бы вам думать об этих вещах 895 00:45:18,820 --> 00:45:23,140 и придумывать методов защищая себя от них. 896 00:45:23,140 --> 00:45:28,858 Любые вопросы по всем угрозам что ждет вас там, и здесь? 897 00:45:28,858 --> 00:45:29,358 Да? 898 00:45:29,358 --> 00:45:29,858 899 00:45:29,858 --> 00:45:31,793 АУДИТОРИЯ: Насколько безопасно делать мы ожидаем, что в среднем 900 00:45:31,793 --> 00:45:35,210 [? сайт, чтобы быть,?], как средняя проект CS50? 901 00:45:35,210 --> 00:45:38,530 >> Дэвид Дж Маланом: Средняя проект CS50? 902 00:45:38,530 --> 00:45:43,190 Он всегда оказывался каждый год, что некоторые CS50 окончательные проекты не 903 00:45:43,190 --> 00:45:44,530 особенно безопасным. 904 00:45:44,530 --> 00:45:47,940 Как правило, это какая-то сосед или hallmate что цифры на это 905 00:45:47,940 --> 00:45:51,200 посылая запросы к вашему проекту. 906 00:45:51,200 --> 00:45:55,230 >> Краткое answer-- сколько сайты являются безопасными? 907 00:45:55,230 --> 00:45:57,450 Я выбираю на сегодня аномалий. 908 00:45:57,450 --> 00:46:00,640 Как это было просто случайностью что я понял, что этот веб-сайт 909 00:46:00,640 --> 00:46:03,390 Я заказывал эти откровенно вкусные договоренности из-- 910 00:46:03,390 --> 00:46:05,348 и я не уверен, я буду прекратить использование их веб-сайт; 911 00:46:05,348 --> 00:46:08,030 Я мог бы просто изменить свой Пароль еще regularly-- 912 00:46:08,030 --> 00:46:11,320 не ясно, насколько уязвимы все эти various-- 913 00:46:11,320 --> 00:46:12,970 это шоколаде фактически. 914 00:46:12,970 --> 00:46:16,172 915 00:46:16,172 --> 00:46:19,130 Короткий ответ, я не могу ответить, что эффективно, кроме как сказать, это 916 00:46:19,130 --> 00:46:22,150 не было, что трудно для меня найти некоторые из этих примеров только 917 00:46:22,150 --> 00:46:24,040 ради обсуждения в лекции. 918 00:46:24,040 --> 00:46:26,456 И только следить на Google News и другие ресурсы 919 00:46:26,456 --> 00:46:29,590 принесет все больше такие вещи на свет. 920 00:46:29,590 --> 00:46:32,460 >> Ладно, давайте заключать с этой приквел 921 00:46:32,460 --> 00:46:36,870 что команда CS50 в подготовило для вас в ожидании CS50 Hackathon. 922 00:46:36,870 --> 00:46:39,763 И на вашем выходе в Момент, фрукты будут обслуживаться. 923 00:46:39,763 --> 00:46:40,429 [ВИДЕОВОСПРОИЗВЕДЕНИЕ] 924 00:46:40,429 --> 00:46:43,595 [МУЗЫКА FERGIE, Q СОВЕТ И GoonRock, " Маленький отряд никогда не убивал НИКТО (ALL 925 00:46:43,595 --> 00:46:44,373 Мы получили) "] 926 00:46:44,373 --> 00:48:08,880 927 00:48:08,880 --> 00:48:13,467 >> - [Храпа] 928 00:48:13,467 --> 00:48:14,300 [END ВИДЕОВОСПРОИЗВЕДЕНИЕ] 929 00:48:14,300 --> 00:48:15,420 Дэвид Дж Маланом: Вот это для CS50. 930 00:48:15,420 --> 00:48:16,544 Увидимся в среду. 931 00:48:16,544 --> 00:48:20,670 932 00:48:20,670 --> 00:48:25,840 [MUSIC - Skrillex, "IMMA" попробовать его "] 933 00:48:25,840 --> 00:51:47,776