DAVID J. Malan: To je CS50, in to je začetek 10 tedna. Morda se boste spomnili, da smo pokazale na zaslonu 3D tiskalnika, ki je to naprava, ki traja tuljave plastike in nato, izriva s segrevanjem pripravljen za njeno taljenje, tako da bomo lahko potem tvorijo vojsko Changovo od sloni, na primer. 

Torej na Leverett House, čeprav, pred kratkim sem je kramljal z eno od vaših sošolci in prijatelj Chang je z imenom Michelle, ki dejansko interniran ta druga družba v zadnjem letu, da ima drugačno tehniko za dejansko ustvariti tridimenzionalne predmete, kot je ta mali slon tukaj. Zlasti način to deluje je, da je primer nečesa imenovano Stereolitografija, pri čemer tam je bil ta bazen smole ali tekočine, in nato lasersko udari da tekočina, in postopoma, naprava dvigala in dvigala in dvigala stvar da tiskate, kot slon, kot da tekočina ne postane trdna. In rezultat, pravzaprav, je nekaj, kar je veliko bolj robusten kot nekatere plastična Giveaways nekateri od vas lahko imela. 

In kaj Chang prijazno storil za nas je bil naredil časovni zamik pomočjo fotografij tekom uro ali več, verjetno, da se ustvari ta fant tukaj. Bi nekdo, ki ni nikoli prišel pred rad prišel hit Start v tem videu? Dovolite mi, da gredo z, kaj pa tam. Pridi gor. Vse je v redu. In vi ste? LUKE: Moje ime je Luke [neslišno]. DAVID J. Malan: Živjo, Luke. Lepo, da sem vas spoznal. 

LUKE: Me veseli. OBČINSTVO: On teče za UC. 

DAVID J. Malan: Vem, smo poskušali, da ne spodbuja. Vse je v redu, tako Luke, vse kar morate storiti, tukaj v CS50 je udaril preslednico natisnete to slona. [VIDEO PREDVAJANJE] - [MACHINE whirring] - [CRASH] - [BOOM] - [CRASH] [END VIDEO PREDVAJANJE] DAVID J. Malan: Torej, to je točno kaj je to všeč, da 3D tisk. In tukaj je tvoj slon. Hvala za prostovoljstvo. Vse je v redu. Torej še enkrat, po specifikaciji končni projekt, ta strojna oprema, ki je na voljo za vas, fantje je, iz neznanega razloga, vaš projekt ima nekaj križišče programske in strojne opreme, zavedati, da so to sedaj viri. 

Želel sem, da bi en trenutek na dotik ob članku Crimson, ki je prišel ven Pozno sinoči, ki je bil sporočamo, da ta sodelavec tu, David Johnson, ki je bil višji Učitelj za ES 10 za kar nekaj časa, odhaja na Harvard konec šolskega leta. In sem si želela, da vzemite si trenutek, pošteno, zahvalil Davidu pred CS50. Bil je mentor vrste za nas v zadnjih letih. 

In se počutim, kot smo, CS50, imajo precej zrasla z Ec 10 tu, saj so tik pred nami. In on in celotna ekipa v ES-10 ima bilo čudovito milostiv, odkrito povedano, kot smo vlačenje v vse naše opreme vsak teden, pred leti, če veliko od zagovornika, kot smo bili radoveden, kako delujejo Ec 10. Torej, naša hvala in občudovanje David Johnson. 

[Ploskanje] 

Zdaj, unrelatedly, tako konec je res blizu. Mi smo tukaj, v 10. tednu. In smo šele nekaj formalnih tednov tukaj v razredu levo, sledi z nekaj dogodkov. Tako da vam občutek, kaj je na obzorju, smo danes tukaj. 

Ta sreda, odpoklic, bomo imeli gost predaval nihče drug kot Microsoft lastno Steve Ballmer. Če ste še niso šli na cs50.harvard.edu/register, To storite tako, saj bo prostor omejen. In se bodo preverjanja ID-ji na vratih za ta dan. Če ne bi bil tukaj Prejšnji teden, sem mislil, da bi zafrkavali z drugačnim videzom pri Stevu in razburjenje, ki nas čaka v sredo. 

[VIDEO PREDVAJANJE] 

-Passion. 

-We're Bo hardcore-- hardcore. 

-Innovator. 

-Bill Rekel, ti ne razumeš. Bomo dal računalnika na vsaki mizi in v vsakem domu, ki je postala moto podjetja. Prisežem, Bill jo je izumil tisto noč res mi nekaj vidnega zakaj bi jaz rekel ja. Nikoli nisem pogledal nazaj, Res, po tem. 

Sveži iz šole, je pridružil mlado zagon in pomagal, da raste v eno od Amerika Večina uspešnih podjetij doslej. Življenje in poslovanje spoznanja na poti naj ga nazaj v njegov otroštvo strast in ljubezen. In so te izkušnje pripravila mu za njegov naslednji izziv v življenju. 

-Nothing Dobi v našem way-- bum! Vztrajati bodoč hardcore! Pojdi Clippers! 

-To Je Steve Ballmer, "V svojimi besedami." [END VIDEO PREDVAJANJE] DAVID J. Malan: --this Sreda CS50. Spet glavo na tem URL tukaj. Kot je za kaj je na obzorju, Naslednji teden, no predavanje v ponedeljek. Vendar se bomo po s kvizom eno sredo. Pojdi na CS50 domačo stran za podrobnosti na ljudi, krajev in časov za vse različne proctoring logistike in podobno, kakor tudi o pregledu seje, ki so v pripravi. In potem, končno, v ponedeljek, dan pred tednom premoru zahvalni dan, zavedamo, da bo naš končni predavanje. Mi bo služila torto in super deal razburjenja, upamo. 

Zdaj, nekaj drugih novostih. Imejte v mislih, da je stanje Poročilo, ki je res samo mišljeno, da bo športna interakcija s svojim TF ponosno navesti le kako daleč skupaj s svojim končni projekt ste, ali vsaj kot prištevnosti preverite, ali morate se približuje točko kmalu zatem. Hackathon sledi, da. Realizirati Hackathon ni priložnost začeti vaš končni projekt, vendar je mišljen kot priložnost da je v sredini ali proti Konec vaš končni projekt, z izvajanjem ob nekaj dni kasneje je sledila sejmu CS50. 

Zdaj, proizvodnja CS50 je ekipa, pred nekaj leti, skupaj teaser Za sejem CS50, ki smo Mislila sva vam pokažem danes, zato, ker smo bili na trdo delo na prequel za tem, da se nov video da bomo danes zaključil s. Ampak tukaj je tisto, kar vas čaka za letošnji CS50 sejmu. [VIDEO PREDVAJANJE] - [Mobitel RINGING] [MUSIC "TEMA IZ Mission: Impossible"] [END VIDEO PREDVAJANJE] DAVID J. Malan: Torej, to je točno, kako smo blizu končne projektne vloge. Nekaj ​​zdaj teasers-- če bi radi, da se pridružijo Nick tukaj za kosilo, kot ponavadi, to Petek, glavo na tem URL tukaj. Poleg tega, če bi želeli da se pridružijo Nick ali te Nick ali to Allison ali katerokoli Člani ekipe CS50 je, Se zavedaš, da je kmalu po koncu izraza je, CS50 bodo že najemanju za prihodnje leto ekipo, za CA, TFS, oblikovalci, proizvajalci, raziskovalci in drugi položaji da tu delujejo CS50 tako v spredaj in v zakulisju. Tako da, če bi to lahko bilo v interesu za vas, glavo na ta URL tukaj. In študenti bolj udobne, manj udoben, in nekje v med podobni so vsi dobrodošli in spodbujati k uporabi. 

Tako je bilo kot nalašč čas, da se ne šala, to jutro, ko sem se zbudila, Imel sem tukaj spam v moj elektronski predal. To dejansko spodrsnilo skozi filter neželene pošte Gmail in nekako pristal v moji dejanski Prejeto. In pravi: "Dragi nabiralnik uporabnik, ste trenutno nadgraditi do 4 GB prostora. Prosimo, da se prijavite v svoj račun za potrditev e-prostor. " 

In potem je to lepo blue vabljiv povezava obstaja, da kliknete na za univerzitetne predavatelje in osebje, ki je nato vodila me na čudovito legitimno stran, ki me je prosil, da se jim moje ime in e-poštni naslov in, seveda, geslo za potrditev kdo sem, in tako naprej. Seveda, saj je vedno tako, ste prišli na to ciljno stran, in seveda, tam je vsaj en typo, ki se zdi, da je žebelj v krste iz katerega koli od teh prevar. In bomo objavili, morda, nekatere druge povezave do tovrstnih posnetkov zaslona v prihodnosti. Ampak upam, da večina ljudi v ta prostor niso clicked-- ali celo, če ste kliknili take povezave, kot je ta, niste tako daleč, da bi izpolnite tiste oblike in tako naprej. Dejstvo je, da je v redu, če imaš. Bomo poskušali popraviti to danes, kajti, res, današnji pogovor o varnosti. 

In res, eden Cilji CS50 ni toliko naučil CE ali PHP ali JavaScript ali SQL ali katero koli od teh temelji Podrobnosti o izvajanju. Ampak to je za vas pooblasti kot ljudje samo pametnejše odločitve, saj se nanaša na tehnologijo navzdol cesta, tako da, če ste inženir ali humanist ali znanstvenik ali katera koli druga vloga, ste kar premišljenih odločitev o svojem uporabe računalništva, ali če ste v odločanja položaj, v politiki, še posebej, ste kar veliko, veliko boljše odločitve, kot Veliko ljudi danes so. In mi bomo to storili s način nekaj primerov. 

Sprva sem bil precej presenečen, Nedavno odkriti naslednje. Torej gesel, seveda, so tisto, kar večina od nas uporabljajo za zaščito naše data-- e-pošto, klepet, in vse vrste sredstev, kot je ta. In samo tako, da ne awkward-- razkazujemo rokah, ampak nerodno izgleda sramu, koliko vas uporabljate isto geslo v veliko različnih spletnih strani? 

Oh, v redu, tako da bomo naredili roke. OK, tako da veliko od vas naredil. Kdor to stori, le zakaj? In kaj potem? Ja? OBČINSTVO: To je težko zapomniti, ker vam ni treba zapomniti [neslišno]. DAVID J. Malan: Ja, to je enostavno zapomniti. To je popolnoma razumljiva, racionalno obnašanje, čeprav tveganja ste dajanje sebe v teh primerih je le eden ali več od teh spletnih mest je občutljiva na taksist ali nezanesljiv ali geslo je samo tako darn uganljivim, vsakdo lahko pogruntal. Ni samo en račun ogrožena, ampak v teoriji, kateremkoli račune, ki jih imajo na internetu. Torej, vem, da bi lahko rekli danes, ne uporabite isto geslo povsod, ampak to je veliko lažje reči kot narediti. Vendar pa obstajajo tudi tehnike za ublažitev, da posebno skrb. 

Zdaj sem se zgodi, na primer, uporabite program, imenovan 1Password. Druga priljubljena se imenuje LastPass. In kup CS50 uporabe osebje enega ali več teh vrst orodij. In skrajšam zgodbo, en takeaway za danes bi moralo biti, da boste morda morali Isto geslo povsod, ampak to je zelo enostavno, da to ni več to. Na primer, v teh dneh, saj vem Morda je eden od mojih deset ali sto gesel. Vseh mojih drugih gesel so psevdo-naključno ustvarjeni z enim od teh programov tukaj. In na kratko, in celo čeprav je večina teh programov ponavadi prihajajo z malo stroški, morate najprej namestiti program, kot je ta, ki bi jih nato shranite vse vaše uporabniško ime in geslo znotraj tega programa na svoj Mac ali PC ali malenkosti, in potem bi bilo šifrirana na vašem računalniku s tem, kar je, upajmo posebej dolgo geslo. Tako da imam cel kup gesla za posamezne spletne strani, in potem imam res dolgo, da sem geslo uporabite za odklepanje vseh ta druga gesla. In kaj je lepo o programske opreme, kot je to da, ko obiščete spletno stran, ki je prosi za vaše uporabniško ime in geslo, te dni, jaz ne vnesete moje uporabniško ime in geslo, ker, še enkrat, jaz sploh ne vem kar večina mojih gesla so. I namesto hit tipkovnico bližnjico, katerega rezultat je sprožiti to programsko opremo za Vprašaj me za moje glavno geslo. Potem pa sem tip, da ena velika geslo v, nato brskalnik samodejno izpolni kaj moje geslo je. Torej res, če ste vzeli ničesar drugega od danes v smislu gesel, To so programska oprema, ki so vredni prenos ali vlaganje v tako da lahko vsaj odmor da zlasti navada. In če ste tip, ki je uporabo Post-It ugotavlja, ali like-- in odds vsaj eden od vas is-- da je navada, preveč, zadostuje, če rečem, mora biti pokvarjen. 

Zdaj pa sem se je zgodilo, da odkrijete, kar je posledica za uporabo programske opreme, ki sledi. Sem bil naročanje jedilnimi dogovor, to košaro sadja, v zadnjem času. In sem se udaril v posebno tipkovnico bližnjica, da se prijavite na spletni strani. In programska oprema sproži pop-up, ki je dejal, ste prepričani, Hočeš, da samodejno predloži to uporabniškega imena in gesla? Saj povezava je negotov. 

Povezava ni uporabo HTTPS, za varno, uporabo tega protokola, znano kot SSL Secure Sockets Layer. In res, če pogledaš na zgoraj levo te spletne strani, to je samo www.ediblearrangements.com, ne HTTPS, ki ni tako dobra. 

Zdaj sem bil curious-- to morda je samo napaka v programski opremi. Seveda, nekatere spletne strani, kot to, da je veliko od nas vedo vsaj z uporabo šifriranja ali HTTPS URL-jev, da se prijavite. Torej sem malo radoveden to jutro. In sem dobil moje CS50 spretnosti, Sem odprla Chrome inšpektor. To ni niti veliko spretnost. To je samo pritisniti pravo tipkovnico bližnjica za to odprli. In tukaj je velika okno inšpektorja Chrome. 

Toda kaj je bilo dejansko malo tragično in smešno sta bili ti dve liniji tukaj. Na vrhu, opazili URL ki je moje uporabniško ime in geslo Na razpis je prispelo. Dovolite mi, da jo povečate. Tukaj je bilo to. In vse to je nekako nezanimiva, razen stvar vso pot na leva, ki se začne s http: //. In tako potem, OK, morda oni samo pošiljanje moje uporabniško ime, ki je ni tak big deal. Mogoče dobi moje geslo poslala pozneje. To bi bilo nekako Zanimiva odločitev dizajn. 

Ampak nope. Če ste, potem poglej na zahtevo nosilnost, uporabniško ime in geslo I sent-- in sem posmehovali ti gor za slide-- so bili dejansko poslal jasno. Torej greš na to posebno spletno stran in naročite jedilnimi dogovor, kot je ta, in res, očitno je, da za vse to ko sem bil naročanje iz njih, uporabniško ime in geslo se bo čez leta jasno. Tako pošteno, to je popolnoma nesprejemljivo. In to je tako nepomembno, da bi se izognili stvari tako kot oblikovalec spletne strani in kot programer spletne strani. 

Vendar takeaway tukaj nas kot uporabnike spletnih strani je le, da cenim, da so vsi to se je za eno neumno zasnovo Odločitev, neupravičeno odločitev design, tako da zdaj, če veš, moje geslo je "Crimson" na to Spletna stran, ki ste jih verjetno pravkar dobil v cel kup druge spletne strani, da imam zdaj. In tam ni veliko obramba pred da razen kar Chang naredil to jutro. Odšel je v jedilno ureditev, ki se nahaja na ulici v Cambridgeu, in fizično kupil to za nas. Ki je bil mnogo bolj varen kot s pomočjo spletne strani v tem primeru. 

Vendar podrobnosti, da pazi na je pravzaprav tisto, kar je v brskalniku up vrh tam. Ampak tudi, da se lahko malce zavajajoče. Torej, še ena zanimiva primer in način brani proti this-- in pravzaprav, kaj je ne da first-- način brani Proti temu je tehnika da je varnost ljudi bi pokličite pristnosti dva faktorja. 

Ali kdo ve, kaj je rešitev na težave, kot so to pomeni? Kaj je preverjanje pristnosti dva faktorja? Ali povedano drugače, kako mnogi od vas se ga uporablja? OK, tako da nekaj sramežljiv ljudi. Ampak ja. Videl sem roko iti gor. Kaj je preverjanje pristnosti dva faktorja? 

OBČINSTVO: V bistvu, poleg da vtipkate svoje geslo, imate tudi sekundarni [neslišno] pošlje prek sporočila SMS na telefonu na [neslišno]. DAVID J. Malan: Točno tako. Poleg nekaterih primarni obliki avtentikacije, kot so gesla, ste prosili za sekundarni faktor, ki je običajno nekaj, kar moraš fizično na vas, čeprav ji lahko nekaj povsem drugega. In ta stvar je tipično Mobilni telefon v teh dneh, na katero ste dobili pošlje začasni sporočilo, ki pravi, "Vaš začasna koda akcije je 12345." 

Torej poleg my geslo "Crimson," tudi jaz morali vnesti v karkoli Spletna stran mi je texted. Ali če imate to z banka ali investicijska račun, včasih imajo ti malo Dongles da dejansko imajo pseudo-random število generator vgrajen v njih, vendar pa sta priprava in bank veš kaj je tvoj začetni seme tako da vedo, celo kot malo kodo na vašo malo kljuavnic koraka naprej vsako minuto ali dva, spreminjanje vrednot, tako da ne, da je sprememba vrednosti na bančni strežnik tako da lahko podobno avtentikacijo vi, ne samo z geslom, vendar s tem začasno kodo. Sedaj lahko dejansko to narediti v Googlu. In odkrito povedano, to je dobro navado priti v, še posebej, če uporabljate Gmail ves čas na brskalniku. Če greš na ta URL tukaj, ki je v diapozitivi na spletu danes, in nato kliknite na 2-korak verifikacije, Ista stvar dejansko obstaja. Boste morali dati jim svojo številko mobilni telefon. In potem vsakič, ko se prijavite v Gmail, boste ne samo vprašal za svoje geslo, ampak tudi za malo kodo, da dobi poslano na vaš telefon začasno. In tako dolgo, kot ste bili omogočeni piškotki, in tako dolgo, kot vam niso izrecno odjavite, boste imeli le storiti, da se enkrat v nekaj časa, kot takrat, ko ste sedli na novem računalniku. 

In narobe tukaj, preveč, je, če vas sedite na neki internetni kavarni slogu računalnik ali pa samo Prijateljevo računalnik, čeprav če te prijatelja zlonamernosti ali nevede ima nekaj s tipkovnico drvar nameščenega na svojem računalniku, tako da vse, kar vam Tip se prijaviti, vsaj, da je drugi dejavnik, ki začasna koda, ki je minljiva. Torej on ali ona ali kdorkoli je ogrožena računalnik Ne morem se prijaviti v vas kasneje, tudi če je vse ostalo ranljiva ali celo nekodirano v celoti. Facebook je tudi to, s tem URL tukaj, kjer lahko kliknete na Prijava soglasja. Torej tudi tu, če ne želijo prijatelji zbosti ljudi, ne želite, da bi drezal na Facebooku ali objavite posodobitev stanja za vas, preverjanje pristnosti dva faktorja Tukaj je verjetno dobra stvar. In potem je to drugo tehniko v celoti, samo revizijo, ki je še dobra stvar za nas ljudje, če dvostopenjsko izkaže nadležno, ki, Res je, da lahko, ali pa preprosto ni na voljo na nekaterih spletnih straneh, minimalno pazil, če in ko ste se prijavili v mestih, če so vam omogočajo, je dobro tehniko, preveč. Torej Facebook tudi vam to Prijava obvestila funkcijo, pri čemer kadarkoli Facebook zaveda, hm, David ima prijavljeni iz nekega računalnika ali telefona da še nikoli nismo videli od IP naslov, ki izgleda ne poznajo, jih bomo vsaj poslati email za kakršne koli e-poštni naslov ki jo imate, rekoč: pa to videti sumljivo? Če je tako, takoj spremenite geslo. In tako tudi tam, samo vedenje revizija tudi potem, ko ste bili ogrožena, lahko vsaj ozko okno v času ki ste ranljivi. 

Vse je v redu, na vsa vprašanja na te stvari tako daleč? Danes je dan, da bi dobili vse tvoja paranoja potrditi ali zanikati. To je večinoma potrjena, na žalost. Ja? 

OBČINSTVO: [neslišno] telefon, Kaj pa, če vaš telefon odmori, in potem je vedno težko verify-- 

DAVID J. Malan: True. 

OBČINSTVO: Ali pa, če ste v drugačni državo, in ne vam kaj se prijavite, ker [neslišno]. DAVID J. Malan: Absolutno. In tako so ti dodatni stroški, ki jih povzročajo. Vedno je ta tema za kompromis, po vsem. In potem, če izgubite telefon, Če se zlomi, če ste v tujini, ali pa samo nimajo Signal, kot 3G ali LTE signalom, Morda ne boste dejansko lahko za preverjanje pristnosti. 

Torej še enkrat, ta dva sta kompromisi. In včasih, lahko ustvarite Veliko dela za vas, kot rezultat. Vendar je res odvisno, nato na kaj pričakuje cena za vas je, da bi nekaj ogrožena celoti. 

Torej SSL, nato pa je ta tehnika, ki vsi smo običajno jemljemo za samoumevno ali prevzema obstaja, čeprav to očitno ne drži. In še vedno lahko zavajajo ljudje, čeprav tudi s tem. Torej, tukaj je primer banke. 

To je Bank of America. Tam je cel kup teh v Harvard Square in onstranstvo. In opazil, da je na samem vrhu zaslon, tam je, res, HTTPS. In to je tudi zelena in izpostavil za nas kar pomeni, da je to res legitimno varna spletna stran, ali tako smo bili usposobljeni, da verjamejo. 

Zdaj, poleg tega pa, opazili, da se, če povečate, tam je ta stvar tu, kjer ste pozvani, da se prijavite. Kaj to pomeni za ključavnico desno tam, poleg svojega uporabniškega imena poziv? To je precej pogosta na spletnih straneh, preveč. Kaj to pomeni za ključavnico? Se vam zdi, kot veste. 

OBČINSTVO: To ne pomeni ničesar. 

DAVID J. Malan: It ne pomeni ničesar. To pomeni, da Bank of America ne ve, kako pisati HTML s slikovnimi oznakami, kajne? Prav zares ne pomeni nič, ker tudi smo s pomočjo prvi dan našega videz v HTML-ju, lahko kodo up stran s rdeče ozadje in sliko, kot GIF ali malenkosti, te se zgodi, da izgleda kot žabica. In vendar je to zelo pogosta pri spletnih straneh, ker smo bili usposobljeni, da prevzamejo da, oh, ključavnica pomeni varno, ko je to res samo pomeni, da ste vedeli, HTML. 

Na primer, nazaj v dan, sem lahko Pravkar dal to na moji spletni strani, trdijo, da je varna, in prosi, učinkovito, za imena in gesla ljudi. Tako je videti v URL-je Vsaj boljši namig, ker, ki je vgrajen v Chrome ali karkoli brskalnik, ki ga uporabljate. Ampak tudi takrat, včasih stvari gre lahko narobe. In v resnici, morda ne vedno glej HTTPS, kaj šele v zeleni barvi. 

Ima kdo od vas kdaj videli zaslon, kot je ta? Morda imate, pravzaprav, prej v oktobru, ko sem pozabil plačati za naše SSL certifikat, kot je pozval, in smo bili videti kot to za uro ali dve. Torej, ste verjetno videli stvari kot je ta, s stavko-skozi, kot rdeče črte, skozi protokola v URL ali neke vrste zaslon, ki je vsaj vam opominjanje ker je poskušal nadaljevati. In tu je Google vabi da greš nazaj na varno. 

Zdaj, v tem primeru pa je to le pomenilo, da Potrdilo SSL, da smo bili z uporabo, veliki, matematično uporabne številke ki so povezane s CS50 strežniku, niso več veljavni. In v resnici, lahko simulirajo to, kot si lahko na vaš prenosnik. Če grem v Chrome tukaj in pojdimo na facebook.com, in izgleda, da je to varno. Ampak naj gredo naprej in zdaj kliknite na ključavnico tukaj. 

In mi gredo na povezave, Potrdilo o informacijah. In res, kaj boste glej tukaj je kup Podatki o nižji ravni okoli ki facebook.com v resnici. Zdi se, da so ti plačali denar podjetje, imenovano morda DigiCert Visoka Zagotovilo, da je obljubil, povedati ostalemu svetu da, če se brskalnik vedno vidi certificate-- si lahko misliš od njega dobesedno kot potrdilo, da je Izgleda ta cheesy stvar na vrhu left-- potem facebook.com je, ki pravijo, so, ker ves ta čas, ko obiščete spletno stran, kot so cs50.harvard.edu ali facebook.com ali gmail.com, da uporabite HTTPS URL-ji, v ozadju, tam je to neke vrste posla samodejno dogaja za vas, pri čemer facebook.com, v tem primeru, pošilja na vašem brskalniku njene tako imenovani certifikat SSL, ali bolje, njegov javni ključ, in potem vaš brskalnik uporablja ta javni ključ naknadno poslali šifrirano prometa in iz njega. 

Vendar pa je ta cela hierarhija v svetu podjetja da boste plačali denar, ki bo nato pričati, v digitalnem pomenu, da ste res facebook.com ali strežnik je res cs50.harvard.edu. In vgrajen v brskalnike, kot Chrome in IE in Firefox, je seznam vseh tistih tako imenovana potrdila organi da se odobri Microsoft in Google in Mozilla potrditi ali zanikati, da facebook.com je, kdo pa pravi, da je. Ampak catch je, da te stvari ne iztečejo. V bistvu, Facebook je izgleda se izteče naslednji oktober, 2015. 

Tako da bomo lahko dejansko simulirati to, če sem pojdi na mojem Mac mojim System Preferences, in sem šel v datumu in času, in Sem šel v datumu in času tu, in sem odkleniti to here-- srečo, nismo razkrili gesla to time-- in zdaj sem šel navzdol počistite to. In kaj je actually-- oops, da je ni tako zanimivo, kot je to. Mi smo dobesedno v prihodnje zdaj, kar pomeni, da je to tisto, kar je tako kot leta 2020. Če sem zdaj naložite page-- dajmo v Ingognito mode-- če sem ponovno naložite stran, da gremo. 

Torej, zdaj, moj računalnik misli to je 2020, ampak moj brskalnik ve, da je to potrdilo Facebook poteče, seveda, v letu 2015. Torej, to je mi dali to rdečo sporočilo. Zdaj, na srečo, brskalniki kot Chrome ima dejansko ga je zelo težko kljub temu nadaljuje. So me zares želijo da se vrnete na varnost. 

Če sem kliknite tukaj na Advance, je dogaja, da mi poveste nekaj več podrobnosti. In če si res želim nadaljevati, oni naj grem na facebook.com, ki je, Ponovno, varna, nakar Bom videla, Facebook stran, kot je ta. Vendar pa druge stvari Zdi se, da zlom. Kaj je verjetno poškodovali na tej točki? OBČINSTVO: JavaScript. DAVID J. Malan: Like JavaScript in / ali CSS Datoteke so podobno srečujejo s to napako. Torej je to samo slabo splošno stanje. Toda točka tukaj je, da vsaj Facebook ima sicer res SSL omogočen na njihovih strežnikih, kot mnoge spletne strani, narediti, vendar ne nujno vseh. 

Ampak to ni samo takeaway tukaj. Izkazalo se je, da je celo SSL Dokazano je bilo, biti negotov na nek način. Tako da sem nekako namigovali, da je protokol SSL, dobro. Poglej za HTTPS URL-jev, in življenje je dobro, ker vse vaše HTTP prometu in glave in vsebina je šifrirana. 

Nihče ne more prestreči v srednji, razen tako imenovanega človeka v sredini. To je splošno tehnika v svetu varnosti znano kot man-in-the-middle napad. Denimo, da ste to malo laptop sem na levi strani, in predpostavimo, ki ga poskušate obiskati server tam na desni strani, kot facebook.com. 

Recimo, da je v med vami in Facebook, je cel kup drugih strežnikov in oprema, kot so stikala in usmerjevalniki, Strežnikov DNS, DHCP strežniki, od katerih nobena ne nadzorujemo. To se lahko nadzira Starbucks ali Harvard ali Comcast ali podobno. No, domnevam, da je nekdo zlobno, v omrežju, med vami in Facebook, lahko vam povem, da, veš kaj, IP naslov Facebook ni tisto, kar misliš, da je. To je ta IP, namesto. 

In tako vaš brskalnik je Prevarala v prosilka prometa iz drugega računalnik v celoti. No, domnevam, da je računalnik preprosto izgleda sploh od prometa, ki ga zahtevate od Facebook in vse spletne strani da ste prosilka iz Facebook. In kadar koli se ji zdi v prometu URL, ki se začne s https, dinamično, na letenje, ga preoblikuje kot HTTP. In kadarkoli se ji to zdi lokacijo header, lokacija debelega črevesa, kot jih uporabljamo za preusmeritev Uporabnik, tiste, preveč, se lahko spremeni s tem človekom v srednji od HTTPS za HTTP. 

Torej, čeprav ste sami morda Misliš, da si v realnem Facebook, to ni tako težko Nasprotnik s fizičnim dostopom z omrežjem, da preprosto vrniti strani za vas, da izgleda kot Gmail, da izgledal Facebook, in res je URL enaka, ker oni pretvarja, da imajo to isto ime gostitelja zaradi nekaterih izkoriščanja DNS ali kak drug sistem, kot je ta. In rezultat je torej da bi lahko samo mi ljudje zavedati, da je v redu, to izgleda Gmail ali vsaj starejša različica, kot je ta diapozitiv iz starejši predstavitev. Ampak izgleda this-- http://www.google.com. 

Torej tudi tu je realnost je, koliko od vas, ko greš na Facebook ali Gmail ali katero koli Spletna stran in veš, nekaj malega o SSL, koliko vas je fizično vnesite https: // in nato spletno stran ime, Enter. Večina od nas samo tip, kot, CS50, pritisnite tipko Enter ali F-za Facebook in pritisnite tipko Enter, in pustite, da avto-popolna. Ampak v ozadju, če si ogledajo HTTP prometa, tam je verjetno cel kup teh lokacijskih glave ki so vas pošilja iz Facebook na www.facebook.com da https://www.facebook.com. 

Tako da je eno ali več HTTP transakcije kje so vaši podatki popolnoma pošlje jasno, ne Šifriranje whatsoever. Zdaj, da morda ne bo tako velik ravnati, če je vse, kar poskušate storiti je dostop do spletne strani, niste pošilja svoje uporabniško ime in geslo. Toda kaj je to pod hood, zlasti Ti so temelj za PHP spletnih strani, ki je tudi pošiljajo sem in tja, ko obiščete neko spletno stran, če da spletna stran uporablja, recimo, PHP in izvaja funkcije, kot pset7? Kaj je bil poslan nazaj in naprej v vaše glave HTTP, ki vam je dal Dostop do tega precej uporaben super globalno v PHP? 

Publika: Piškotki. 

DAVID J. Malan: Piškotki, posebej PHP sess ID piškotek. Torej odpokličejo, če gremo, recimo, spet cs50.harvard.edu, vendar tokrat, pa odpirajo Kartica omrežja, in zdaj, tukaj, kaj je dobesedno samo pojdi da http://cs50.harvard.edu in nato pritisnite tipko Enter. In potem poglej na zaslonu tukaj. Opazili, da smo res dobili nazaj 301 preselil trajno sporočilo, kar pomeni, da tam je glava lokacija tukaj, ki je zdaj me preusmeri na HTTPS. 

Ampak catch je, da če sem že imela Piškotek vtisnjena na moji roki praktično, kot smo razpravljali prej, in Sem človek nekako nezavedno le obiščite negotov različica, in moj brskalnik traja nase, pokazati, da se ročna žig za Prva zahteva, ki je prek HTTP, kdo v sredini, kateremkoli Nasprotnik v sredini, lahko teoretično pravkar videli ti HTTP glave, samo kot smo jih pogledate tukaj. To je samo, ko ste pogovarjam HTTPS URL ne da sam roko žig dobili šifrirana, la Caesar ali Vigenere, vendar z Ljubitelj algoritem v celoti. Torej tudi tu, četudi spletne strani uporabljajo HTTPS, smo ljudje so klimatizirane, hvala za avto-popolnih in drugih tehnik, da niti ne pomisli možne posledice. Zdaj, obstajajo načini, da se temu izognemo. Na primer, mnoge Spletne strani je mogoče konfigurirati tako da, ko ste to roko žig, vam lahko povem brskalnik, to roko žig je le za povezave SSL. Brskalnik ne smejo predstavljati je k meni, če je prek SSL. Ampak veliko spletnih strani ne trudi se s tem. In veliko spletnih strani, očitno niti ne trudim z SSL sploh. 

Torej, več o tem, da je dejansko še več umazanije v tej predstavitvi da je kolega dal na tako imenovani črni hat konferenca pred nekaj leti, kjer je še drugo zlonamerne triki ljudje uporabljajo. Morda vam bo ta odpoklic Pojem favicon, ki je kot majhen logotip, ki je pogosto v oknu brskalnika. No, kaj je bilo pogosta med slabih fantov je da bi Fab ikone, ki izgledajo kot kaj? OBČINSTVO: [neslišno]. DAVID J. Malan: Ponovi? OBČINSTVO: Spletne strani. DAVID J. Malan: Ni spletne strani. Torej favicon, mali ikona. Kaj bi bilo najbolj zlonamerno, manipulativna stvar ti bi lahko vaše spletne strani Privzeta ikona izgleda? OBČINSTVO: zelena zaklepanje. DAVID J. Malan: Kaj je to? OBČINSTVO: mali zeleni zaklepanje. DAVID J. Malan: Like zelena zaklepanje, točno. Tako da lahko imajo ta estetska z malo zeleno ključavnico, namigovali na svetu, oh, smo zagotoviti, kdaj, še enkrat, vse to pomeni, je, da veste nekaj HTML. Torej seja ugrabitve se nanaša na točno to. Če imate nekoga, ki je nekako nahod radijskih valov v tej sobi sem ali ima fizični dostop do omrežje in lahko vidite piškotke, on ali ona lahko zgrabi, da PHP sess ID piškotek. In potem, če si ti zdrava pamet dovolj, da vem, kako poslati ta piškotek za svojega ročni žig samo s kopiranjem te vrednosti in pošiljanje naslove HTTP, nekdo lahko zelo enostavno se prijavite na katerega koli od Facebook računi ali Gmail računi ali Twitter račune, ki so tukaj, odprti v prostoru, če ne z uporabo SSL in, če je spletna stran ne uporabljate SSL pravilno. 

Tako da je prehod v drugo. Torej, še ena resnična zgodba. In to samo izbruhnila news teden ali dva nazaj. Verizon je počel zlo stvar, in kot lahko najboljši ljudje povedati, vsaj od leta 2012, s katerim je ko si dostop do spletnih strani prek Verizon mobilni telefon, ne glede na proizvajalca, da je, so bili presumptuously, kot zgodba, vbrizganjem v vse vaše HTTP promet lastne glave HTTP. In da header videz kot this-- X-UIDH. UID je kot edinstven identifikator ID uporabnika. In X pomeni le, da je to po meri header, ki ni standardna. 

Ampak kaj to pomeni je, da če potegnem gor, na primer, vse spletne strani na moji telefonski here-- in sem z Verizon kot moj carrier-- čeprav moj brskalnik morda ne se pošilja to HTTP header, Verizon, takoj kot signal doseže njihovih cellphone stolp nekam, je bil za nekaj časa vbrizgavanje to header v vse naše HTTP prometu. Zakaj to počnejo? Verjetno za sledenje razlogov, za reklamne namene. 

Ampak odločitev Kretenski oblikovanje tukaj je, da glava HTTP, saj veste, od pset6, prejme kateri koli spletni strežnik da ste prosi za promet. Torej, ves ta čas, če ste bili na obisku Facebook ali Gmail ali katero koli spletno stran ki ne uporablja SSL vse time-- in dejansko tisti, dve srečo zdaj do-- ampak druge spletne strani, ki Ne uporabljajte SSL ves čas, Verizon ima v bistvu je sajenje, nasilno, ročni žig na vse naše roke, da tudi ne vidimo, temveč, končni spletne strani ne. In tako ni bilo, da težko za vsakogar, ki na internetu teče spletni strežnik zavedati, ooh, to je David, ali, ooh, to je Davin, četudi smo Strog o klirinških naše piškotke, ker to ne prihaja od nas. To prihaja od prevoznika. 

Oni lookup na vašo telefonsko številko in potem pravijo, oh, to je David. Dovolite mi, da injicirati z edinstveno oznako, tako da naši oglaševalci ali kdor more spremljate to. Torej, to je pravzaprav zelo, zelo, zelo slaba in grozljivo. In jaz bi vas spodbujamo, da poglej, na primer, na tem URL-ju, ki naj zavračamo Sem zjutraj dejansko poskušali to. Napisal sem nekaj skript, ga na tem URL, ga obiskala z mojo lastno Verizon Mobilni telefon po vklopu Wi-Fi off. Tako da boste morali obrniti Wi-Fi off, tako da ste z uporabo 3G ali LTE ali podobno. In potem, če obiščete ta URL, vse to script stori za vas, če ga želite predvajati, je izpljune kaj HTTP glave telefon pošilja na naš strežnik. In dejansko sem v pravičnosti, storil ne vidim to danes zjutraj, kar me misliš bodisi lokalno cellphone stolp sem bil povezan z ali malenkosti ne delam, ali oni ' podprta off tem začasno. Ampak za več informacij da se odpravite na ta URL tukaj. 

In zdaj this-- to comic morda smiselno. Ne? OK. Vse je v redu. Da je umrl. Vse je v redu. 

Torej, kaj je, da pogled na nekaj več napadi, če se le za ozaveščanje o in nato ponuditi nekaj možne rešitve tako, da ste vse bolj zaveda. Tole smo se pogovarjali o drugih dan, ampak ni dala ime. To zahteva cross-site ponaredek, ki je preveč fancy način rekel si pretentati uporabnika v klikom na URL, kot je ta, ki jih je triki v neko vedenje, ki niso nameravali. 

V tem primeru se to zdi ki se trudijo, da me je trik v prodajo svoje delnice Googla. In bo to uspelo, če I, programer pset7, tega še niso storile, kaj? Oziroma, bolj splošno, v kakšni primeri sem občutljiva na napad Če nekdo drug trikov uporabnikov v klikom na URL, kot je ta? Ja? 

OBČINSTVO: Ne razlikuje med GET in POST. 

DAVID J. Malan: Dobro. Če se ne razlikuje med GET in POST, in seveda, če bomo dovolili GET za prodajo stvari, smo povabili te vrste napad. Vendar pa bi se lahko še vedno nekoliko omiliti. In sem komentiral, mislim, prejšnji teden, da Amazon vsaj poskuša omiliti to s tehniko to je precej preprosta. Kaj bi pametna stvar storiti na vaš strežnik, in ne le slepo prodajo karkoli simbol vrste uporabnikov v? OBČINSTVO: Potrditev vrst? DAVID J. Malan: zaslon za potrditev, kar vključuje stike med ljudmi tako da sem prisiljen bi sodbo klic, čeprav sem naivno kliknil povezava, ki je videti takole in me je pripeljala do zaslona celic, pri Vsaj me je prosil, da se potrdi ali zanika. Vendar ni nič nenavadnega napad, še posebej, v tako imenovani phishing ali-spam podobnega napadi. 

Zdaj, to je malo bolj subtilna. To je cross-site skriptno napad. In to se zgodi, če je vaš Spletna stran ne uporablja ekvivalent htmlspecialchars. In to ob uporabnikov vnos in samo slepo injiciranjem v spletno stran, kot s tiskom ali echo, with-- again-- ven kliče nekaj kot htmlspecialchars. 

Torej domnevam, da spletne strani v Vprašanje je vulnerable.com. In domnevam, da sprejema parameter se imenuje q. Poglejte, kaj se lahko zgodi, če sem v resnici, slab človek, tip ali pretentati uporabnika v obiskom URL, ki izgleda kot this-- q = odprta script tag, zaprta script tag. In spet, jaz sem ob predpostavki, da vulnerable.com ni bo obrniti nevarno Znaki, kot so odprte oklepaje v html entitete, znak pove, L-T, podpičje stvar da ste morda videli. 

Toda kaj je scenarij ali kodo JavaScript Poskušam trik Uporabnik v izvršitve? No, document.location nanaša da trenutni naslov mojega brskalnika. Torej, če naredim document.location =, To mi omogoča, da preusmerijo uporabnika v JavaScriptu na drugo spletno stran. To je tako kot naši funkcije PHP preusmeriti, ampak narediti v JavaScript. 

Kjer sem poskušal poslati uporabnik? No, očitno, badguy.com/log.php, ki je nekaj skript, očitno, bad guy zapisal, da bo parameter imenovan piškotek. 

In obvestilo, kaj storiti I Zdi se, da združite na koncu tega enačaja? No, nekaj, pravi document.cookie. Nismo govorili o tem. Vendar se je izkazalo, da JavaScript, tako kot v PHP, lahko dostopate do vseh piškotkov da je vaš brskalnik dejansko uporabo. 

Torej je učinek te ene vrstica kode, če uporabnik je prevarajo s klikom na to povezavo in na spletni strani vulnerable.com ne pobegniti z htmlspecialchars, je, da si dejansko morali naložili log.php vse vaše piškotke. In to ni vedno, da je problematično, razen če eden od teh piškotkov je vaša seja ID, vaš ti roko žig, ki pomeni badguy.com lahko naredite svojo lastno Zahteve HTTP, pošiljanje to isto roko žig, da ista header piškotek, in se prijavite na kateri koli spletni strani ste bili na obisku, ki je v V tem primeru je vulnerable.com. To je cross-site skriptno napad v smislu da ste nekako prelisičijo eno mesto v zgodb ena spletna stran o nekaterih informacij naj ti ne, v resnici, imajo dostop do. 

Vse je v redu, pripravljen za enega druga zaskrbljujoča detail? Vse je v redu, da je svet strašen kraj, upravičeno tako. Tukaj je preprost JavaScript primer, da je v današnjem izvorno kodo imenovano geolocation 0 in 1. In tam je par walkthroughs na spletu za to. 

In to ne sledi, če I odpreti to spletno stran v brskalniku Chrome. Najprej ne naredi ničesar. OK, bomo to še enkrat poskusiti. Oh. Ne, bi moral nekaj narediti. OK, stati ob strani. 

Poskusimo še enkrat. [Neslišno] Ah, OK, ne vem zakaj the-- oh, aparat verjetno izgubili internet dostop iz neznanega razloga. Vse je v redu, tako da se mi zgodi, preveč. 

Vse je v redu, tako da obvestilo kaj se dogaja tukaj. Ta Grobni videza URL, ki je le eden od CS50 strežnik, želi uporabiti svoj računalnika lokacijo, kot fizično pomeni. In če, seveda, sem kliknite na Dovolite, da vidimo, kaj se zgodi. Očitno je to moj trenutni širina in vzdolžne koordinate navzdol na precej darn dobro resolucijo. 

Torej, kako sem prišel na to? Kako te spletne strani, kot CS50 strežnik, vem, fizično, kje v svetu Jaz sem, kaj šele s to natančnostjo. No, izkaže out-- Dovolite samo poglej source-- stran z da je tukaj kup HTML na dno, da je treba najprej this-- telo onload = "Geološka lokacija" - samo funkcijo sem napisal. 

In jaz pravim, o nakladanju Stran, pokličite Geološka lokacija. In potem je tukaj še nič v telesu, saj v glavi strani, opazili, kaj imam tukaj. Tu je moj Geološka lokacija funkcijo. In to je samo nekaj napak checking-- če tip navigator.geolocation ni definirana. Torej JavaScript je to Mehanizem, kjer vas Lahko rečem, kaj je tip te spremenljivke? In če to ni undefined-- to pomeni, da je nekaj value-- Bom poklical navigator.geolocation.getCurrentPosition in potem za povratne klice. 

Kaj je to? Tako na splošno, kar je povratni klic, samo da bo jasno? Morda ste naleteli to že v pset8. Povratni klic je generično izraz za to, kaj? Počuti kot samo jaz danes. OBČINSTVO: [neslišno]. DAVID J. Malan: Točno tako, funkcija, ki naj bi se imenuje le, če imamo podatke. Ta razpis za brskalnik, dobil svoj tok Stališče, lahko traja eno milisekundo, to lahko traja približno minuto. Kaj to pomeni, smo povedali Metoda get getCurrentPosition, imenujemo to funkcijo povratni klic, ki sem jo dobesedno imenovan za povratni klic zaradi enostavnosti, ki očitno je to ena tukaj. 

In način getCurrentPosition deluje, preprosto z branjem dokumentacije za nekatere JavaScript kodo na spletu, da zahteva, da je tako imenovani povratni klic funkcija, prehaja v je JavaScript objekt, znotraj katerega je .coords.latitude in .coords.longitude, kar je točno, kako, potem, ko sem ponovno naloži to stran, Sem mogel videti moje mesto tukaj. Zdaj, vsaj obstaja obramba tukaj. Preden sem obiskal to stran, ko je dejansko delal, kaj sem vsaj vprašal za? 

OBČINSTVO: [neslišno]. 

DAVID J. Malan: Da ali no-- storiti želite dovoliti ali preprečiti to? Ampak mislim, tudi o navadah vidva sta najverjetneje sprejet, tako na telefonih in vaših brskalnikih. Mnogi od nas, sam vključeni, so verjetno precej nagnjeni ti si days-- vidite pop-up, samo Enter, OK, Potrdi, Dovoli. In vedno bolj, lahko dajo sami v nevarnosti, za te razloge. 

Torej, v resnici, je bilo to čudovito bug nekaj let ago-- ali pomanjkanje feature-- da je imel iTunes pred nekaj leti, pri čemer, če bi imel mobilni telefon, in je bil iPhone, in ste zapustili svoj dom in zato potoval po vsem svetu ali soseski, ves ta čas, telefon je bil prijavite kje ste preko GPS. In to je dejansko razkrita, in ljudje nekako pričakoval zdaj. Vaš telefon ve, kje ste. Ampak problem je bil, da ko ste bili varnostno kopiranje vaš telefon iTunes-- to je bilo pred dnevi iCloud, kar je za boljše ali za worse-- bili podatki shranjujejo v iTunes, popolnoma nekodirano. Torej, če imate družino ali sostanovalce ali zlonamerni sosed, ki je radovedni dobesedno vsak GPS usklajuje ste že kdaj bili v, on ali ona lahko samo sesti na iTunes, zaženite nekaj programske opreme, ki je prosto so na voljo, in izdelavo zemljevidov je to všeč. 

Pravzaprav, to je tisto, kar sem proizvaja mojega telefona. Sem vključen. In izgleda, ki temelji na modre pike tam, da je, kjer je večina GPS koordinate bile slovenščina iTunes, da sem je bil na severovzhodu tam. Ampak očitno sem prepotoval bit, celo v Massachusettsu. 

Tako da je Boston Harbor tam na desni. To je neke vrste Cambridge in Boston, kjer je najtemnejši. In včasih, bi Vodim opravkih v večji geografije. 

Ampak iTunes, za let, je imela, kot najbolje Jaz lahko povem, vse te podatke na mene. Lahko povem, da, to leto, sem bil dejansko veliko potuje med Boston in New York, gredo naprej in nazaj in naprej in nazaj. In res, to je me Amtrak nazaj in nazaj, naprej in nazaj, zelo malo. Vsi, ki se je prijaviti in shranjeni šifrirano na mojem računalniku za vsakogar, ki bi lahko imele dostop do mojega računalnika. 

To je zaskrbljujoče. Nisem vedel, zakaj sem v Pensilvaniji oziroma zakaj moj telefon je bil v Pensilvaniji, očitno precej gosto. In potem, končno, sem pogledal na moji Gcal, in, oh, I obiskal CMU Carnegie Mellon, v času. In Fuj, ta vrsta je pojasnil, da je blip. In potem, če povečavo out nadalje, lahko glej sem obiskal San Francisco enkrat ali večkrat; nato, in sem celo imel layover v kaj Mislim, da je Vegas, tam doli. Torej vse this-- samo layover na letališču. 

OBČINSTVO: [smeh] 

Torej to je samo reči, da ti Težave, iskreno, so vseprisotna. In to samo meni bolj všeč tam več o tem se razkrije, kar je verjetno dobra stvar. Upam si trditi, svet ni slabša na pisanje programske opreme. Mi smo vedno boljši, upajmo, da pri zaznavanju kako slabo določena programska oprema je, da smo s pomočjo. In na srečo, nekateri podjetja so se začeli treba odgovarjati za to. 

Toda kaj vrste obramb Lahko imaš v mislih? Torej poleg menedžerjev gesla, kot so 1Password in LastPass in drugi, poleg le spremembo gesla in prihaja z naključnimi tiste uporabo programske opreme, kot da, lahko poskusite tudi z kot najboljše kar lahko za šifriranje vse vaše prometa da vsaj omejite območje nevarnosti. Torej, na primer, kot je Harvard podružnic, vsi lahko greš na vpn.harvard.edu in se prijavite z vašim Harvard ID in PIN. In to bo vzpostavil varen povezava med vami in Harvardu. 

Zdaj, da ne nujno vas ščiti pred vsemi nevarnostmi, ki so med Harvard in Facebook ali Harvard in Gmail. Ampak, če sedite na letališču, ali ste sedel v Starbucksu ali ste sedel na prijateljevem mestu, in ne boste jih res ali zaupajo svoje konfiguracija njihovem domačem usmerjevalniku, vsaj lahko vzpostavi varno povezavo subjektu, kot je to mesto, ki je verjetno malo bolje zavarovani kot nekaj podobnega Starbucks ali podobno. In kaj to počne, je ugotovi, še enkrat, Šifriranje med vami in končno točko. 

Tudi Ljubitelj so stvari, kot je ta. Torej, nekateri od vas morda že poznati Tor, ki je ta vrsta anonimnosti omrežja, pri čemer je veliko ljudi, če zagnati to programsko opremo, pot nato njihova internet prometa skozi seboj. Torej najkrajša točka ni več med A in B. Morda pa bi bilo po vsem postavite tako, da ste v bistvu pokrivanje svojih skladb ter odhodu manj od rekordnih, da če vaš HTTP promet prišli, saj se dogaja skozi cel kup drugih ljudi prenosni ali namizni računalniki, za boljše ali slabše. 

Toda tudi to ni surefire stvar. Nekateri od vas morda spomni lani bombni preplah, ki je bil imenovan leta. In je bilo zaslediti na koncu uporabnik, ki je uporabil to mrežo tukaj. In ulov pa, kot se spomnim, je, če ne obstajajo, da mnoge druge ljudi z uporabo programske opreme, kot je ta, ali s pomočjo teh vrat in protokol, to ni tako težko za omrežje še ugotoviti, kdo, z določeno stopnjo verjetnosti, je bila v resnici anonimiziranje njegov promet. 

In ne vem, če so bili tisti, dejanski podatki v vprašanju. Ampak zagotovo zavedajo, da nobena od to so surefire rešitve, kot dobro. In cilj je danes tukaj, je, da vsaj dobili boste razmišljati o teh stvareh in prihaja s tehnikami za sami braniti proti njim. Vsa vprašanja v zvezi vseh groženj ki vas čakajo tam in tukaj? Ja? OBČINSTVO: Kako varni so storili pričakujemo, da bo povprečje [? spletno stran, da bo,?] kot Povprečna projekt CS50? 

DAVID J. Malan: Povprečna projekt CS50? Vedno je izkazalo, da se vsako leto nekateri CS50 končni projekti niso predvsem varno. Ponavadi je nekaj sostanovalec ali hallmate da številke to jasno s pošiljanjem prošenj za vaš projekt. 

Kratek answer-- koliko spletne strani so varne? Jaz sem pobiral na današnjem anomalij. Kot da je pravkar happenstance da sem spoznal, da te spletne strani Sem bil naročanje ti odkrito okusne ureditve from-- in nisem prepričan, da bom prenehajte z uporabo njihove spletne strani; Jaz bi samo spremenite my Geslo več regularly-- to ni jasno, kako ranljivi vsi ti various-- to je, čokolada, tudi dejansko. Kratek odgovor, ne morem odgovoriti, da učinkovito, razen reči Ni bilo tako težko za mene, da našli nekaj teh primerov samo zavoljo razprave v predavanju. In samo pazil na Google News in drugih virov bo vse več Te vrste stvari na svetlobo. 

Vse je v redu, kaj je sklepanje s tem prequel da je ekipa CS50 je za vas pripravili v pričakovanju CS50 Hackathon. In na poti ven iz Trenutek, bo sadje je treba vročiti. [VIDEO PREDVAJANJE] [MUSIC Fergie, Q TIP IN GOONROCK " LITTLE PARTY NIKOLI UBIL Nihče (ALL WE GOT) "] 

- [Smrčanje] [END VIDEO PREDVAJANJE] DAVID J. Malan: To je to za CS50. Se vidimo v sredo. [MUSIC - Skrillex, "Imma" POSKUSITE OUT "]