เดวิดเจลัน: นี่คือ CS50, และนี่คือจุดเริ่มต้นของสัปดาห์ที่ 10 คุณอาจจะจำได้ว่าเราได้แสดงให้เห็นว่า บนหน้าจอเครื่องพิมพ์ 3D ซึ่ง เป็นอุปกรณ์ที่ ใช้หลอดพลาสติก แล้ว extrudes มันด้วยความร้อนมัน ขึ้นและละลายมันเพื่อให้เราสามารถแล้ว รูปแบบกองทัพช้างของ ช้างเช่น 

ดังนั้นใน Leverett บ้าน แต่เมื่อเร็ว ๆ นี้ผม คุยกับหนึ่งในของคุณ เพื่อนร่วมชั้นและเพื่อนช้าง ชื่อมิเชลที่ฝึกงานจริงที่ บริษัท อื่น ๆ ปีที่ผ่านมานี้ว่า มีเทคนิคที่แตกต่างกันสำหรับจริง การสร้างวัตถุสามมิติ เหมือนช้างเล็ก ๆ น้อย ๆ เล็ก ๆ ที่นี่ โดยเฉพาะอย่างยิ่งวิธีการทำงานนี้ คือว่ามันเป็นตัวอย่างของบางสิ่งบางอย่าง เรียกว่า stereolit​​hography โดย มีอ่างเรซินหรือของเหลวนี้ แล้วเลเซอร์นัดที่ ของเหลวและค่อยๆอุปกรณ์ รถยกและยกสิ่งที่ ที่คุณพิมพ์เช่นช้าง, เป็นของเหลวที่จะกลายเป็นของแข็ง และผลที่ตามจริง เป็นสิ่งที่เป็น ประสิทธิภาพมากขึ้นกว่าบางส่วนของ พลาสติกแจกของรางวัลบางส่วนของคุณ อาจจะมี 

และสิ่งที่ช้างกรุณา ได้สำหรับเราที่นี่เป็น ทำไทม์โดยใช้รูปถ่าย ในช่วงชั่วโมงหรือมากกว่า, อาจจะเพื่อผลิตผู้ชายคนนี้ที่นี่ จะเป็นคนที่ไม่เคยเกิดขึ้นมาก่อน ชอบที่จะมาเริ่มตีในวิดีโอนี้หรือไม่? ให้ฉันไปกับวิธีการเกี่ยวกับที่นั่น มาขึ้น สิทธิ์ทั้งหมด และคุณคืออะไร? ลุค: ฉันชื่อลุค [ไม่ได้ยิน] เดวิดเจลัน: สวัสดี, ลุค ยินดีที่ได้พบคุณ 

ลุค: ยินดีที่ได้พบคุณ ผู้ชม: เขาวิ่ง UC 

เดวิดเจลัน: ฉันรู้ว่า เรากำลังพยายามที่จะไม่ส่งเสริม สิทธิทั้งหมดเพื่อให้ลุคทั้งหมด ที่คุณต้องทำที่นี่ใน CS50 ถูกตีแถบพื้นที่ พิมพ์ช้างนี้ [การเล่นวิดีโอ] - [เครื่องหึ่ง] - [CRASH] - [BOOM] - [CRASH] [จบการเล่นวิดีโอ] เดวิดเจลันดังนั้นที่ว่า สิ่งที่มันต้องการที่จะพิมพ์ 3D และนี่ก็เป็นช้างของคุณ ขอบคุณสำหรับการเป็นอาสาสมัคร สิทธิ์ทั้งหมด ดังนั้นอีกครั้งต่อข้อกำหนดสำหรับ โครงการสุดท้าย, ฮาร์ดแวร์ที่นี้ ที่มีให้กับพวกคุณ คือด้วยเหตุผลบางอย่าง โครงการของคุณมีสี่แยกบาง ซอฟแวร์และฮาร์ดแวร์ ตระหนักดีว่าสิ่งเหล่านี้เป็นทรัพยากร 

ผมอยากจะใช้เวลาหนึ่งช่วงเวลาที่จะสัมผัส เมื่อบทความแดงที่ออกมา เมื่อคืนที่ผ่านปลายซึ่งจะ ประกาศว่าคนนี้นี่เดวิด จอห์นสันผู้ที่ได้รับการอาวุโส พระอุปัชฌาย์สำหรับ Ec 10 สำหรับค่อนข้างบางเวลา ออกจากฮาร์วาร์ที่ ในตอนท้ายของปีการศึกษา และฉันแค่อยากจะ ใช้เวลาสักครู่สุจริต ขอบคุณเดวิดด้านหน้าของ CS50 เขาได้รับการให้คำปรึกษาของ ทุกประเภทให้เราในช่วงหลายปี 

และฉันรู้สึกเหมือนเรา CS50 มี เติบโตค่อนข้างขึ้นกับ Ec 10 ในที่นี่เพราะพวกเขาเป็นขวาก่อนเรา เขาและทีมงานทั้งหมดใน Ec 10 มี รับน้ำใจมหัศจรรย์ตรงไปตรงมา ในขณะที่เราดึงในทุกอุปกรณ์ของเรา แต่ละคนและทุกสัปดาห์และปีที่ผ่านมา ให้การจัดการที่ดี ของที่ปรึกษาในขณะที่เรามี อยากรู้ว่าวิธีการทำงาน Ec 10 ดังนั้นขอบคุณของเราและ ชื่นชมกับเดวิดจอห์นสัน 

[APPLAUSE] 

ตอนนี้ unrelatedly ดังนั้น ท้ายที่สุดย่อมเป็นใกล้ เราอยู่ที่นี่ในสัปดาห์ที่ 10 และเรามีเพียงแค่ สองสามสัปดาห์ที่ผ่านมาอย่างเป็นทางการ ที่นี่ในชั้นเรียนที่เหลือตาม โดยคู่ของเหตุการณ์ เพื่อที่จะให้ความรู้สึกของสิ่งที่ บนขอบฟ้าที่นี่เรามีวันนี้ 

นี้วันพุธที่เรียกคืน เราจะมีการบรรยายของผู้เข้าพัก โดยไม่มีใครอื่นนอกจาก ไมโครซอฟท์เอง Steve Ballmer ถ้าคุณยังไม่ได้ไป cs50.harvard.edu/register, ทำเช่นนั้นเนื่องจากพื้นที่จะถูก จำกัด และพวกเขาจะได้รับการตรวจสอบ รหัสที่ประตูวันนี้ ถ้าคุณเป็นไม่ได้ที่นี่ เมื่อสัปดาห์ที่แล้วฉันคิดว่าฉัน หยอกล้อคุณมีลักษณะที่แตกต่างกัน ที่สตีฟและความตื่นเต้นว่า ที่รอเราในวันพุธที่ 

[การเล่นวิดีโอ] 

-Passion 

-We're จะไม่ยอมใครง่ายๆ hardcore-- 

-Innovator 

-Bill กล่าวว่าคุณไม่ได้รับมัน เรากำลังจะไปใส่ คอมพิวเตอร์บนโต๊ะทำงานทุก และในทุก ๆ บ้านซึ่งกลายเป็น คำขวัญของ บริษัท ฉันสาบานบิลคิดค้นมัน ในคืนนั้นจริงๆให้ฉัน บางส่วนของวิสัยทัศน์ของ เหตุผลที่ผมควรจะพูดว่าใช่ ผมไม่เคยมองย้อนกลับไป จริงๆหลังจากนั้น 

-Fresh ออกจากวิทยาลัยเขา เข้าร่วมการเริ่มต้นนก และช่วยให้มันเติบโตเป็นหนึ่งของอเมริกา ธุรกิจที่ประสบความสำเร็จมากที่สุดตลอดกาล ชีวิตของนักธุรกิจและ เรียนรู้ไปพร้อมกัน ปล่อยให้เขากลับไปของเขา ความรักในวัยเด็กและความรัก และประสบการณ์เหล่านั้นได้เตรียม เขาสำหรับความท้าทายต่อไปของเขาในชีวิต 

ไม่มีอะไรได้รับในบูม way-- ของเรา! ไม่ยอมใครง่ายๆให้มา! ไปกรรไกร! 

นี้เป็น Steve Ballmer, "ในคำพูดของฉัน." [จบการเล่นวิดีโอ] เดวิดเจลัน: --This วันพุธถึง CS50 อีกครั้งเพื่อมุ่งหน้า URL นี้ที่นี่ สำหรับสิ่งอื่นที่อยู่บนขอบฟ้า, สัปดาห์หน้าไม่มีการบรรยายในวันจันทร์ที่ แต่เราจะได้รับการดังต่อไปนี้ โดยคำถามหนึ่งในวันพุธที่ ไปที่หน้าแรก CS50 สำหรับรายละเอียด เกี่ยวกับคนสถานที่และเวลา สำหรับทุก proctoring ต่างๆ โลจิสติกและชอบ เช่นเดียวกับการเกี่ยวกับการตรวจสอบ การประชุมที่กำลังจะมาถึง และแล้วในที่สุดในวันจันทร์วัน ก่อนที่สัปดาห์ของว​​ันหยุดขอบคุณพระเจ้า, รู้ว่ามันจะมีการบรรยายครั้งสุดท้ายของเรา เราจะให้บริการเค้กและดี ข้อตกลงของความตื่นเต้นเราหวังว่า 

ตอนนี้คู่ของการปรับปรุงอื่น ๆ เก็บไว้ในใจว่าสถานะ รายงานซึ่งเป็นจริงเพียง หมายถึงการเป็นปฏิสัมพันธ์แบบสบาย ๆ ลุยกับคุณเพื่อความภาคภูมิใจที่ระบุเพียง วิธีการห่างไกลพร้อมกับของคุณ โครงการสุดท้ายที่คุณมี หรืออย่างน้อยก็เป็นสติ ตรวจสอบว่าคุณควร จะใกล้เข้ามาว่า ชี้หลังจากนั้นไม่นาน Hackathon แล้​​วตามที่ ตระหนักถึง Hackathon ไม่ได้มีโอกาส ที่จะเริ่มต้นโครงการสุดท้ายของคุณ แต่ มีขึ้นเพื่อเป็นโอกาส ที่จะอยู่ในช่วงกลางของหรือไป ในตอนท้ายของโครงการสุดท้ายของคุณ กับการดำเนินงานเนื่องจากไม่กี่ วันต่อมาตามด้วยยุติธรรม CS50 

ตอนนี้การผลิตของ CS50 ทีมสองปีที่ผ่านมา ใส่กันทีเซอร์ สำหรับ CS50 ยุติธรรมที่เรา คิดว่าเราจะแสดงให้เห็นในวันนี้ เพราะพวกเขาได้รับยากที่ทำงาน ใน prequel สำหรับว่าวิดีโอใหม่ ที่เราจะสรุปในวันนี้ด้วย แต่นี่คือสิ่งที่รอคุณอยู่ สำหรับ CS50 ยุติธรรมในปีนี้ [การเล่นวิดีโอ] - [เสียงโทรศัพท์มือถือ] [MUSIC "กระทู้จาก Mission: Impossible"] [จบการเล่นวิดีโอ] เดวิดเจลัน: เพื่อให้เป็นว่าวิธีการที่ เราปิดการส่งโครงการสุดท้าย คู่ของตอนนี้ถ้า teasers-- คุณต้องการที่จะเข้าร่วมนิคที่นี่ เพื่อรับประทานอาหารกลางวันตามปกตินี้ วันศุกร์ที่มุ่งหน้าไปยัง URL นี้ที่นี่ นอกจากนี้หากคุณต้องการ ที่จะเข้าร่วมหรือนิคนิคนี้ หรือแอลลิสันนี้หรือ สมาชิกของทีม CS50 ของ ไม่ตระหนักว่าไม่นาน หลังจากสิ้นสุดระยะของ CS50 แล้วจะได้รับการสรรหา สำหรับทีมของปีถัดไป สำหรับ CAs, TFS, ออกแบบ, ผลิต, นักวิจัยและตำแหน่งอื่น ๆ ที่นี่ทำงาน CS50 ทั้งใน ด้านหน้าและด้านหลังฉาก ดังนั้นถ้าเรื่องนี้อาจจะเป็นที่สนใจ ให้คุณมุ่งหน้าไปยัง URL นี้ที่นี่ และนักศึกษาที่สะดวกสบายมากขึ้น ความสะดวกสบายน้อยลงและบางแห่งใน ระหว่างที่มีการต้อนรับเหมือนกันทั้งหมด และการส่งเสริมให้ใช้ 

ดังนั้นจึงเป็นช่วงเวลาที่สมบูรณ์แบบที่ไม่มี ตลกเช้าวันนี้เมื่อผมตื่นขึ้นมา ผมมีที่นี่สแปมในกล่องจดหมายของฉัน มันลื่นจริง ผ่านตัวกรองสแปมของ Gmail อย่างใดและจบลงในกล่องจดหมายที่เกิดขึ้นจริงของฉัน และกล่าวว่า "กล่องจดหมายรัก ผู้ใช้ที่คุณอยู่ในปัจจุบัน ปรับถึง 4 กิก​​ะไบต์ของพื้นที่ กรุณาเข้าสู่ระบบในบัญชีของคุณ เพื่อที่จะตรวจสอบ E-พื้นที่. " 

แล้วมีสีฟ้านี้ดี ลิงค์ที่น่าหลงใหลมีให้คลิกที่ สำหรับอาจารย์และเจ้าหน้าที่ซึ่งก็ทำให้ฉัน ไปยังหน้ามหัศจรรย์ถูกต้องตามกฎหมายซึ่ง ถามฉันเพื่อให้พวกเขามีชื่อของฉัน และที่อยู่อีเมลและแน่นอน รหัสผ่านในการตรวจสอบ ที่ผมและอื่น ๆ แต่แน่นอนว่ามักจะเป็นกรณีที่ คุณมาถึงที่หน้าเชื่อมโยงไปถึงนี้ และแน่นอนมี อย่างน้อยหนึ่ง typo, ซึ่งดูเหมือนว่าจะเป็นเล็บใน โลงศพของใด ๆ ของการหลอกลวงเหล่านี้ และเราจะโพสต์บางทีบางอื่น ๆ เชื่อมโยงไปยังเหล่านี้ชนิดของภาพหน้าจอ ในอนาคต แต่หวังว่าคนส่วนใหญ่ใน ห้องนี้ยังไม่ได้ clicked-- หรือแม้กระทั่งถ้าคุณคลิก การเชื่อมโยงเช่นนี้ คุณยังไม่ได้ไปไกลที่สุดเท่าที่จะ กรอกแบบฟอร์มเหล่านั้นและอื่น ๆ ในความเป็นจริงก็ OK ถ้าคุณมี เราจะพยายามที่จะแก้ไขปัญหาในวันนี้ว่าเพราะ แน่นอนการสนทนาของวันนี้คือ เกี่ยวกับการรักษาความปลอดภัย 

และแน่นอนหนึ่งใน เป้าหมายของการ CS50 ไม่ได้ มากที่จะสอนคุณ CE หรือ PHP หรือ JavaScript หรือ SQL หรือใด ๆ ของเหล่านี้พื้นฐาน รายละเอียดการปฏิบัติ แต่มันจะช่วยให้คุณเป็นมนุษย์ เพียงแค่การตัดสินใจอย่างชาญฉลาดที่มัน ที่เกี่ยวข้องกับเทคโนโลยีลง ถนนเพื่อให้ไม่ว่าคุณจะ วิศวกรหรือมนุษย์หรือ นักวิทยาศาสตร์หรือบทบาทอื่น ๆ คุณกำลังทำข้อมูลในการตัดสินใจ เกี่ยวกับการใช้คอมพิวเตอร์ของคุณเอง หรือถ้าคุณอยู่ใน การตัดสินใจตำแหน่ง ในทางการเมืองโดยเฉพาะอย่างยิ่ง คุณกำลังทำมาก การตัดสินใจที่ดีกว่า จำนวนมากของคนวันนี้ได้รับ และเราจะทำเช่นนี้โดย วิธีการเป็นตัวอย่าง 

ครั้งแรกผมค่อนข้างประหลาดใจ เมื่อเร็ว ๆ นี้ในการค้นพบดังต่อไปนี้ ดังนั้นรหัสผ่านที่แน่นอน เป็นสิ่งที่ส่วนใหญ่ของเรา ใช้ในการป้องกันอีเมล data-- ของเรา, แชท, และทุกชนิดของทรัพยากรเช่นว่า และเพียงแค่ awkward-- ไม่แสดงของ มือ แต่ดูอายของความอัปยศ วิธีที่หลายท่านใช้รหัสผ่านเดียวกัน ในเว็บไซต์จำนวนมากที่แตกต่างกันหรือไม่? 

โอ้ตกลงดังนั้นเราจะทำมือ ตกลงดังนั้นจำนวนมากที่คุณทำ ทุกคนที่ทำอย่างนี้เพียงแค่ว่าทำไม? และสิ่งที่? ใช่? ผู้ชม: มันง่ายที่จะจำได้เพราะ คุณไม่ต้องจำไว้ [ไม่ได้ยิน] เดวิดเจลัน: ใช่ มันง่ายที่จะจำ มันเป็นเรื่องที่เหมาะสมอย่างสมบูรณ์แบบ พฤติกรรมที่มีเหตุผล แม้ว่าจะมีความเสี่ยง คุณกำลังใส่ตัวเอง ที่ในกรณีเหล่านี้เป็นเพียง หนึ่งหรือมากกว่าของเว็บไซต์เหล่านั้น มีความเสี่ยงต่อการเจาะระบบหรือ ไม่ปลอดภัยหรือรหัสผ่านของคุณเป็นเพียง เพื่อให้เข้าใจได้สาป, ทุกคนสามารถคิดออก ไม่เพียง แต่เป็นหนึ่งบัญชี ทำลาย แต่ในทางทฤษฎีใด ๆ บัญชีที่คุณมีในอินเทอร์เน็ต ดังนั้นฉันรู้ว่าฉันอาจจะบอกว่าวันนี้ไม่ได้ ใช้รหัสผ่านเดียวกันทุกที่ แต่ที่กล่าวว่าจำนวนมากง่ายกว่าทำ แต่มีเทคนิคในการ ที่บรรเทาความกังวลโดยเฉพาะอย่างยิ่ง 

ตอนนี้ผมเกิดขึ้นตัวอย่างเช่นการ ใช้โปรแกรมที่เรียกว่า 1Password อีกคนหนึ่งที่เป็นที่นิยมเรียกว่า LastPass และพวงของการใช้พนักงาน CS50 หนึ่ง หรือมากกว่าเหล่านี้ชนิดของเครื่องมือ และเรื่องยาวสั้น หนึ่ง Takeaway สำหรับวันนี้ ควรจะเป็นใช่คุณอาจจะมี รหัสผ่านเดียวกันทุกที่ แต่มันเป็นเรื่องง่ายมากที่จะไม่ทำอย่างนั้น ยกตัวอย่างเช่นวันนี้ฉันรู้ว่า บางทีหนึ่งในหลายสิบหรือหลายร้อยของฉัน ของรหัสผ่าน ทั้งหมดของรหัสผ่านอื่น ๆ ของฉัน มีการหลอกแบบสุ่ม ที่สร้างขึ้นโดยหนึ่งในโปรแกรมเหล่านี้ที่นี่ และสั้นและแม้กระทั่ง แม้ว่าส่วนใหญ่ของโปรแกรมเหล่านี้ มีแนวโน้มที่จะมาพร้อมกับบิตของค่าใช้จ่าย, คุณจะติดตั้งโปรแกรมเช่นนี้ แล้วคุณจะเก็บทั้งหมดของ ชื่อผู้ใช้และรหัสผ่านของคุณ ภายในของโปรแกรมนี้ใน Mac หรือ PC หรือ whatnot ของคุณเอง และจากนั้นก็จะเป็น เข้ารหัสบนคอ​​มพิวเตอร์ของคุณ กับสิ่งที่หวังว่า รหัสผ่านที่ยาวโดยเฉพาะอย่างยิ่ง ดังนั้นผมจึงมีทั้งกลุ่ม รหัสผ่านสำหรับเว็บไซต์แต่ละ และแล้วฉันมีจริงๆ รหัสผ่านที่ยาวที่ฉัน ใช้ในการปลดล็อคทั้งหมดของ รหัสผ่านอื่น ๆ เหล่านั้น และสิ่งที่ดีเกี่ยวกับการ ซอฟแวร์เช่นนี้ ว่าเมื่อคุณเยี่ยมชมเว็บไซต์ที่ ขอชื่อผู้ใช้และรหัสผ่านของคุณ วันนี้ผมไม่ได้พิมพ์ใน ชื่อผู้ใช้และรหัสผ่านของฉัน เพราะอีกครั้งฉันไม่ได้รู้ว่า สิ่งที่ดีที่สุดของรหัสผ่านของฉัน ฉันแทนที่จะกดแป้นพิมพ์ ทางลัด, ผลของการที่ คือการเรียกซอฟต์แวร์นี้เพื่อ แจ้งให้ฉันสำหรับรหัสผ่านหลักของฉัน ฉันแล้วพิมพ์ที่ขนาดใหญ่ รหัสผ่านและจากนั้นเบราว์เซอร์ โดยอัตโนมัติเติมใน สิ่งที่รหัสผ่านของฉันคือ ดังนั้นอย่างแท้จริงถ้าคุณใช้ไม่มีอะไรอื่น ออกไปจากวันนี้ในแง่ของรหัสผ่าน เหล่านี้เป็นซอฟแวร์ที่มีมูลค่าการ ดาวน์โหลดหรือเพื่อการลงทุนใน ที่คุณสามารถอย่างน้อยการหยุดพัก ที่นิสัยโดยเฉพาะอย่างยิ่ง และถ้าคุณเป็นประเภทที่ว่า โดยใช้โพสต์มันบันทึกหรือ like-- และราคาอย่างน้อยหนึ่งของคุณเท่าไหร่ นิสัยที่เหมือนกันพอเพียงที่จะบอกว่า ควรจะถูกทำลาย 

ตอนนี้ผมเกิดขึ้นที่จะค้นพบเป็นผล ของการใช้ซอฟต์แวร์ดังต่อไปนี้ ผมได้รับการสั่งซื้อการจัดกิน ตะกร้าผลไม้นี้เมื่อเร็ว ๆ นี้ และฉันกดแป้นพิมพ์พิเศษของฉัน ทางลัดในการเข้าสู่เว็บไซต์ และซอฟต์แวร์ที่เรียก ป๊อปอัพที่กล่าวว่าคุณแน่ใจหรือว่า คุณต้องการให้ฉันไปโดยอัตโนมัติ ส่งชื่อผู้ใช้และรหัสผ่าน? เนื่องจากการเชื่อมต่อที่ไม่ปลอดภัย 

การเชื่อมต่อไม่ ใช้ HTTPS เพื่อรักษาความปลอดภัย โดยใช้โปรโตคอลที่รู้จักกันว่า SSL, Sockets Layer ความปลอดภัย และแน่นอนถ้าคุณมองไปที่ ด้านบนซ้ายของเว็บไซต์นี้ มันเป็นเพียงแค่ www.ediblearrangements.com, ไม่มี HTTPS ซึ่งเป็นไม่ดีดังนั้น 

ตอนนี้ผมก็อาจจะ curious-- นี้ เป็นเพียงข้อผิดพลาดในซอฟต์แวร์ แท้จริงเว็บไซต์บางอย่างเช่น ที่จำนวนมากเรารู้ว่า เป็นอย่างน้อยโดยใช้การเข้ารหัส และ HTTPS เพื่อเข้าสู่ระบบใน ดังนั้นผมจึงมีขี้สงสัยเล็ก ๆ น้อย ๆ ในเช้าวันนี้ และฉันได้ออกทักษะ CS50 ของฉัน ฉันเปิด Chrome ตรวจสอบ ก็ไม่ได้มากของทักษะ มันเป็นเพียงแค่กดแป้นพิมพ์ที่เหมาะสม ทางลัดที่จะเปิดนี้ขึ้น และนี่คือหน้าต่างขนาดใหญ่ ของ Chrome ได้ตรวจสอบ 

แต่สิ่งที่เป็นจริง เล็ก ๆ น้อย ๆ ที่น่าเศร้าและไร้สาระ มีสองบรรทัดเหล่านี้ที่นี่ ขึ้นที่ด้านบนสังเกต URL ไปยัง ซึ่งชื่อผู้ใช้และรหัสผ่านของฉัน ถูกส่งมา ผมขอขยาย มันเป็นที่นี่ และทั้งหมดที่มี การเรียงลำดับของน่าทึ่ง ยกเว้นสิ่งทุกอย่างที่ ซ้ายซึ่งเริ่มต้นด้วย http: // และอื่น ๆ แล้วตกลงอาจจะ พวกเขากำลังเพียงแค่การส่ง ชื่อผู้ใช้ซึ่งเป็นของฉัน ไม่ได้เป็นเรื่องใหญ่ บางทีรหัสผ่านที่ได้รับการส่งต่อมา ที่จะเป็นชนิดของ การตัดสินใจการออกแบบที่น่าสนใจ 

แต่ Nope จากนั้นถ้าคุณมองไปที่การร้องขอ บรรจุชื่อผู้ใช้และรหัสผ่าน ฉัน sent-- และฉันหัวเราะเยาะ เหล่านี้ขึ้นสำหรับ slide-- ถูกส่งจริงในที่ชัดเจน เพื่อให้คุณไปที่เว็บไซต์นี้โดยเฉพาะและ สั่งจัดกินเช่นนี้ และแน่นอนเห็นได้ชัดสำหรับทั้งหมดนี้ เวลาที่ฉันได้รับการสั่งซื้อจากพวกเขา ชื่อผู้ใช้และรหัสผ่านของคุณ เป็นไปทั่วในที่ชัดเจน ดังนั้นตรงไปตรงมานี้เป็น ที่ยอมรับไม่ได้อย่างสมบูรณ์ และมันเป็นเรื่องเล็ก ๆ น้อย ๆ ดังนั้นเพื่อหลีกเลี่ยงสิ่งที่ เช่นนี้เป็นนักออกแบบของเว็บไซต์ และเป็นโปรแกรมเมอร์ของเว็บไซต์ 

แต่ Takeaway ที่นี่เพื่อ เราเป็นผู้ใช้เว็บไซต์ เป็นเพียงการที่จะชื่นชมว่า ก็จะเป็นหนึ่งในการออกแบบโง่ การตัดสินใจการตัดสินใจการออกแบบไม่เหมาะสม เพื่อที่ว่าตอนนี้ถ้าคุณรู้รหัสผ่านของฉันคือ "สีแดงเข้ม" เกี่ยวกับเรื่องนี้ เว็บไซต์ของคุณอาจ เพิ่งได้เข้ามาทั้งกลุ่ม เว็บไซต์อื่น ๆ ที่ตอนนี้ฉันมี และมีไม่มาก การป้องกันที่ นอกเหนือจากสิ่งที่ช้างได้ในเช้าวันนี้ เขาก็ไปจัดกินซึ่ง ตั้งอยู่บนถนนในเคมบริดจ์, และร่างกายซื้อนี้สำหรับเรา นั่นคือมากมีความปลอดภัยมากกว่า การใช้เว็บไซต์ในกรณีนี้ 

แต่รายละเอียดที่จะเก็บตาออกสำหรับ เป็นจริงสิ่งที่อยู่ในด้านบนเบราว์เซอร์ได้ ที่นั่น แต่ถึงแม้ที่สามารถหลอกลวงน้อย ที่น่าสนใจอีก ตัวอย่างและวิธีการป้องกัน กับเจ้านี่และที่จริงให้ ไม่ว่า first-- วิธีการป้องกัน ต่อนี้เป็นเทคนิค ว่าคนที่จะรักษาความปลอดภัย เรียกตรวจสอบสองปัจจัย 

ไม่มีใครรู้ว่าสิ่งที่แก้ปัญหา ปัญหาเช่นนี้หมายถึงอะไร? การตรวจสอบสองปัจจัยคืออะไร? หรืออีกนัยหนึ่งว่า หลายท่านกำลังใช้มันได้หรือไม่ OK เพื่อให้คู่ของคนที่ขี้อาย แต่ใช่ ผมเห็นมือของคุณขึ้นไป การตรวจสอบสองปัจจัยคืออะไร? 

ผู้ชม: โดยทั่วไปนอกจากนี้ การพิมพ์ในรหัสผ่านของคุณ คุณยังมีรอง [ไม่ได้ยิน] ส่งผ่านทางข้อความไปยังโทรศัพท์ของคุณ ที่ [ไม่ได้ยิน] เดวิดเจลัน: แน่นอน นอกเหนือจากรูปแบบหลักบาง ของการตรวจสอบเช่นรหัสผ่าน คุณกำลังถามหารอง ปัจจัยซึ่งโดยปกติ สิ่งที่คุณต้อง ร่างกายกับคุณแม้ว่ามันจะ สามารถเป็นสิ่งอื่นทั้งหมด และสิ่งที่เป็นปกติ โทรศัพท์มือถือวันนี้เพื่อที่คุณได้รับ ส่งข้อความชั่วคราวที่ระบุว่า "รหัสผ่านชั่วคราวของคุณคือ 12345" 

ดังนั้นนอกเหนือไปจากฉัน รหัสผ่าน "สีแดงเข้ม" ฉันยัง ต้องพิมพ์ในสิ่งที่ เว็บไซต์ได้ texted ฉัน หรือหากคุณมีนี้ด้วย ธนาคารหรือบัญชีการลงทุน, บางครั้งคุณได้เหล่านี้ dongles เล็ก ๆ ที่ จริงมีสุ่มหลอก เครื่องกำเนิดไฟฟ้าจำนวนสร้างขึ้นในพวกเขา แต่ทั้งสองอุปกรณ์และธนาคาร ทราบว่าเมล็ดพันธุ์ครั้งแรกของคุณเป็น เพื่อให้พวกเขารู้ว่าแม้ในขณะที่ รหัสเพียงเล็กน้อยเกี่ยวกับกุญแจของคุณเพียงเล็กน้อย เดินไปข้างหน้าทุกนาที หรือสองเปลี่ยนค่านิยม เพื่อไม่เปลี่ยนแปลงค่าที่ บนเซิร์ฟเวอร์ของธนาคาร เพื่อให้พวกเขาในทำนองเดียวกันสามารถรับรองความถูกต้อง คุณไม่เพียง แต่มีรหัสผ่านของคุณ แต่มีรหัสชั่วคราวที่ ตอนนี้คุณจริงสามารถทำเช่นนี้ใน Google และตรงไปตรงนี้เป็น นิสัยที่ดีที่จะได้รับเข้า โดยเฉพาะอย่างยิ่งถ้าคุณกำลังใช้ gmail ตลอดเวลาที่อยู่ในเบราว์เซอร์ ถ้าคุณไปที่ URL นี้ที่นี่ที่อยู่ใน สไลด์ออนไลน์สำหรับวันนี้แล้ว คลิกที่ 2 ขั้นตอนการตรวจสอบ สิ่งที่เกิดขึ้นจริงเดียวกันมี คุณจะได้รับแจ้งให้ พวกเขาหมายเลขโทรศัพท์มือถือของคุณ และแล้วเวลาที่คุณเข้าสู่ระบบ Gmail คุณจะไม่ได้ถามเท่านั้น รหัสผ่านของคุณ แต่ยังสำหรับ รหัสน้อยที่ได้รับการส่งไปยังโทรศัพท์ของคุณ ชั่วคราว และตราบใดที่คุณได้เปิดใช้งานคุกกี้ และตราบใดที่คุณไม่ได้อย่างชัดเจน ออกจากระบบคุณจะมีเพียง จะทำอย่างนั้นครั้งเดียวในชั่วขณะหนึ่ง เช่นเมื่อคุณนั่งลง ที่คอมพิวเตอร์เครื่องใหม่ 

และมี upside นี่ด้วยคือถ้าคุณ นั่งลงที่บางสไตล์อินเทอร์เน็ตคาเฟ่ คอมพิวเตอร์หรือเพียงแค่ เครื่องคอมพิวเตอร์ของเพื่อนแม้ ถ้าเพื่อนคนนั้น ร้ายหรือไม่ มีคนตัดไม้แป้นพิมพ์บางส่วน ติดตั้งบนคอมพิวเตอร์ของเขาหรือเธอ เช่นทุกอย่างที่คุณว่า ชนิดจะถูกบันทึกไว้ อย่างน้อยที่ปัจจัยที่สองที่ รหัสชั่วคราวเป็นชั่วคราว ดังนั้นเขาหรือเธอหรือใครก็ตามที่เป็น ทำลายคอมพิวเตอร์ ไม่สามารถเข้าสู่ระบบเป็นคุณต่อมา แม้ว่าทุกอย่างอื่น เป็นความเสี่ยงหรือแม้กระทั่ง ไม่ได้เข้ารหัสทั้งหมด Facebook มีนี้เกินไป ด้วย URL ที่นี่ว่า ที่คุณสามารถคลิกที่เข้าสู่ระบบการอนุมัติ ดังนั้นที่นี่ก็เช่นกันถ้าคุณทำไม่ได้ ต้องการเพื่อนที่จะกระตุ้นคน คุณไม่ต้องการที่จะโผล่บน Facebook หรือโพสต์การปรับปรุงสถานะสำหรับคุณ การตรวจสอบสองปัจจัย ที่นี่น่าจะเป็นสิ่งที่ดี แล้วมีนี้ เทคนิคอื่น ๆ ทั้งหมด การตรวจสอบเพียงซึ่งเป็นแม้กระทั่ง เป็นสิ่งที่ดีสำหรับเรามนุษย์ ถ้าสองปัจจัยพิสูจน์ที่น่ารำคาญซึ่ง เป็นที่ยอมรับก็สามารถหรือมันเป็นเพียงแค่ไม่ได้ มีอยู่ในเว็บไซต์บางน้อยที่สุด รักษาตาบนและถ้า คุณกำลังเข้าสู่เว็บไซต์ถ้าพวกเขา ช่วยให้คุณเป็นเทคนิคที่ดีอีกด้วย ดังนั้น Facebook ยังช่วยให้คุณนี้ แจ้งเตือนการเข้าสู่ระบบมีภารกิจเร่งด่วน ทุกที่ทุกเวลา Facebook ตระหนัก, HM เดวิดมี เข้าสู่ระบบจากคอมพิวเตอร์หรือโทรศัพท์บาง ที่เราไม่เคยเห็นมาก่อนจาก ที่อยู่ IP ที่มีลักษณะที่ไม่คุ้นเคย พวกเขาอย่างน้อยจะส่ง อีเมลไปยังที่อยู่อีเมลของสิ่งที่ คุณมีอยู่ในแฟ้มพูด นี้จะดูน่าสงสัย? ถ้าเป็นเช่นนั้นเปลี่ยนรหัสผ่านของคุณทันที และเพื่อให้มีมากเกินไป พฤติกรรมการตรวจสอบเพียงแค่ แม้หลังจากที่คุณได้รับ ทำลายสามารถอย่างน้อย หน้าต่างแคบระหว่าง ที่คุณมีความเสี่ยง 

สิทธิทั้งหมดคำถามใด ๆ ในสิ่งที่ป่านนี้? วันนี้เป็นวันที่จะได้รับทั้งหมดของ ความหวาดระแวงของคุณได้รับการยืนยันหรือปฏิเสธ ที่ส่วนใหญ่ได้รับการยืนยันเศร้า ใช่? 

ผู้ชม: [ไม่ได้ยิน] โทรศัพท์ สิ่งที่ถ้าพักโทรศัพท์ของคุณ แล้วมันเสมอ ยากที่จะ verify-- 

เดวิดเจลันทรู 

ผู้ชม: หรือถ้าคุณอยู่ในที่แตกต่างกัน ประเทศและพวกเขาจะไม่ปล่อยให้คุณ เข้าสู่ระบบเพราะ [ไม่ได้ยิน] เดวิดเจลัน: แน่นอน และอื่น ๆ เหล่านี้เพิ่มเติม ค่าใช้จ่ายที่คุณต้องเสีย มีเสมอรูปแบบนี้ การค้าออกหลังจากทั้งหมด แล้วถ้าคุณสูญเสียโทรศัพท์ของคุณ ถ้าแบ่งถ้าคุณอยู่ในต่างประเทศ หรือคุณก็ไม่ได้มี สัญญาณเช่น 3G หรือสัญญาณ LTE, คุณอาจจะไม่จริง จะสามารถรับรองความถูกต้อง 

ดังนั้นอีกครั้งทั้งสองเป็นการแลกเปลี่ยน และบางครั้งก็สามารถสร้าง มากในการทำงานสำหรับคุณเป็นผล แต่จริงๆมันขึ้นอยู่แล้วใน สิ่งที่ราคาที่คาดว่าจะอยู่กับคุณ เป็นอะไรบางอย่างที่เป็นอยู่ ทำลายโดยสิ้นเชิง 

ดังนั้น SSL ก็คือเทคนิคนี้ว่า เราทุกคนมักจะได้รับ หรือคิดจะมีแม้ว่า ที่เห็นได้ชัดไม่ได้กรณีที่ และคุณยังสามารถทำให้เข้าใจผิด คน แต่แม้จะมีนี้ ดังนั้นนี่คือตัวอย่างของธนาคาร 

นี้เป็นธนาคารแห่งอเมริกา มีทั้งกลุ่มเหล่านี้เป็น ในฮาร์วาร์สแควร์และอื่น ๆ และสังเกตเห็นว่าที่ด้านบนสุดของ หน้าจอมีจริง HTTPS และมันก็เป็นสีเขียว และไฮไลท์สำหรับเรา เพื่อแสดงให้เห็นว่าเรื่องนี้เป็นจริง เว็บไซต์ที่ปลอดภัยถูกต้องตามกฎหมาย หรือเพื่อให้เราได้รับการฝึกอบรมที่จะเชื่อ 

ตอนนี้นอกเหนือจากที่แม้ว่า สังเกตเห็นว่าถ้าเราซูมเข้า มีสิ่งนี้ที่นี่ที่ คุณจะได้รับแจ้งให้เข้าสู่ระบบ สิ่งนี้หมายความว่ากุญแจขวา มีถัดจากชื่อผู้ใช้ของฉันได้? นี้สวยกันในเว็บไซต์ด้วย อะไรกุญแจนี้หมายความว่าอย่างไร คุณดูเหมือนคุณรู้ว่า 

ผู้ชม: มันไม่ได้หมายความว่าอะไร 

เดวิดเจลัน: มัน ไม่ได้หมายความว่าอะไร ก็หมายความว่าธนาคารแห่งอเมริการู้วิธี ในการเขียน HTML ที่มีแท็กภาพใช่มั้ย? มันอย่างแท้จริงหมายถึงอะไรเพราะแม้ เราใช้วันแรกของการมองของเรา ที่ HTML สามารถรหัสขึ้นหน้าด้วย พื้นหลังสีแดงและภาพ เช่น GIF หรือ whatnot ที่ เกิดขึ้นให้มีลักษณะเหมือนกุญแจ และยังนี้เป็นซุปเปอร์ ที่พบบ่อยในเว็บไซต์ เพราะเราได้รับการฝึกอบรมที่จะสรุป ว่าโอ้กุญแจหมายถึงการรักษาความปลอดภัย เมื่อมันจริงๆเพียงแค่หมายความว่าคุณรู้ HTML 

ตัวอย่างเช่นกลับในวันที่ฉันจะทำได้ ได้เพียงแค่ใส่นี้ในเว็บไซต์ของฉัน อ้างว่ามันมีความปลอดภัย, และขอให้มีประสิทธิภาพ สำหรับชื่อผู้ใช้ของผู้คนและรหัสผ่าน ดังนั้นมองใน URL เป็น อย่างน้อยเบาะแสที่ดีขึ้น เพราะที่สร้างไว้ใน Chrome หรืออะไรก็ตามที่เบราว์เซอร์ที่คุณใช้ แต่ถึงอย่างนั้นบางครั้ง สิ่งที่สามารถไปอย่างผิดปกติ และในความเป็นจริงคุณอาจจะไม่เสมอ เห็น HTTPS ให้อยู่คนเดียวในสีเขียว 

มีใด ๆ ที่คุณเคย เห็นหน้าจอเช่นนี้หรือไม่ คุณอาจจะมีจริง ก่อนหน้านี้ในเดือนตุลาคม เมื่อฉันลืมที่จะจ่ายเงินให้เรา ใบรับรอง SSL เป็นมันเรียกว่า และเราก็มองเช่น นี้สำหรับหนึ่งหรือสองชั่วโมง เพื่อให้คุณได้อาจจะได้เห็นสิ่งที่ เช่นนี้ด้วยการตีผ่าน เช่นสายสีแดงผ่าน โปรโตคอลใน URL หรือชนิดของหน้าจอบางอย่างที่เป็น อย่างน้อยตักเตือนท่าน พยายามที่จะดำเนินการต่อไป และ Google ที่นี่เชิญชวน คุณจะกลับไปเพื่อความปลอดภัย 

ขณะนี้ในกรณีนี้เพียงแค่นี้หมายความว่า ใบรับรอง SSL ที่เราใช้ ขนาดใหญ่หมายเลขที่มีประโยชน์ทางคณิตศาสตร์ ที่เกี่ยวข้องกับเซิร์ฟเวอร์ CS50 ของ ที่ไม่ถูกต้อง และในความเป็นจริงเราสามารถจำลอง นี้ที่คุณสามารถบนแล็ปท็อปของคุณ ถ้าผมไปลงใน Chrome ที่นี่ และขอไปที่ facebook.com, และดูเหมือนว่านี้มีความปลอดภัย แต่ให้ฉันไปข้างหน้าในขณะนี้และ คลิกที่รูปกุญแจที่นี่ 

และแจ้งให้เราไปที่การเชื่อมต่อ ข้อมูลรับรอง และแน่นอนสิ่งที่คุณจะ ดูที่นี่เป็นพวง รายละเอียดในระดับที่ลดลงเกี่ยวกับ ที่ facebook.com จริงๆ ดูเหมือนว่าพวกเขาได้จ่ายเงินเงิน บริษัท ที่เรียกว่าอาจจะ DigiCert สูง ความเชื่อมั่นที่ได้สัญญาไว้ ที่จะบอกส่วนที่เหลือของโลก ว่าถ้าเบราว์เซอร์ที่เคยเห็น certificate-- ที่คุณสามารถคิด มันตามตัวอักษรว่าใบรับรองที่ ดูเหมือนว่าสิ่งที่วิเศษที่ด้านบน left-- แล้ว facebook.com คือผู้ที่พวกเขากล่าวว่า พวกเขาเป็นเพราะตลอดเวลานี้เมื่อ คุณเยี่ยมชมเว็บไซต์เช่น cs50.harvard.edu หรือ facebook.com หรือ gmail.com ที่ใช้ HTTPS URL ที่อยู่เบื้องหลัง มีการเรียงลำดับของรายการนี​​้ ที่เกิดขึ้นโดยอัตโนมัติ สำหรับคุณโดย facebook.com, ในกรณีนี้ ถูกส่งไปยังเบราว์เซอร์ของตน ที่เรียกว่าใบรับรอง SSL หรือมากกว่า คีย์สาธารณะของ แล้วเบราว์เซอร์ของคุณ คือการใช้คีย์สาธารณะที่ เพื่อส่งต่อมาที่มีการเข้ารหัส การจราจรจากมัน 

แต่มีลำดับชั้นนี้ทั้งหมด ในโลกของ บริษัท ที่คุณจ่ายเงินเพื่อที่จะ จากนั้นเป็นพยานในความหมายดิจิตอล ว่าคุณมีความแน่นอนหรือ facebook.com เซิร์ฟเวอร์ของคุณเป็นจริง cs50.harvard.edu และสร้างขึ้นในเบราว์เซอร์เช่น Chrome และ IE และ Firefox, เป็นรายชื่อของทุกคน ที่เรียกว่าหน่วยรับรอง ที่ได้รับการอนุญาตจาก Microsoft และ Google และ Mozilla ที่จะยืนยันหรือปฏิเสธว่า facebook.com เป็นใครก็บอกว่ามันเป็น แต่จับได้ว่า สิ่งเหล่านี้จะหมดอายุ ในความเป็นจริงของ Facebook ที่ดูเหมือนว่า จะหมดอายุต่อไปเดือนตุลาคมในปี 2015 

ดังนั้นเราจริงสามารถจำลองนี้ถ้าฉัน ไปใน Mac ของฉันไปที่การตั้งค่าระบบของฉัน และฉันไปในวันและเวลาและ ผมไปในวันและเวลาที่นี่ และผมปลดล็อคตรงนี้นี้โชคดี เราไม่ได้เปิดเผยรหัสผ่าน time-- นี้ และตอนนี้ฉันลงไปยกเลิกการเลือกนี้ และขอที่จริงโอ๊ะที่ ไม่เป็นที่น่าสนใจเช่นการทำเช่นนี้ เราเป็นอย่างแท้จริงในอนาคตตอนนี้ ซึ่งหมายความว่านี่คือสิ่งที่ 2020 เช่น ถ้าตอนนี้ผมโหลด Page-- ขอทำใน Ingognito mode-- ถ้าผมโหลดหน้าเว็บที่มีเราไป 

ดังนั้นตอนนี้คอมพิวเตอร์ของฉันคิดว่า มัน 2020 แต่เบราว์เซอร์ของฉัน รู้ว่าใบรับรองนี้จาก Facebook หมดอายุแน่นอนในปี 2015 จึงให้ฉันข้อความสีแดงนี้ ตอนนี้โชคดีที่เบราว์เซอร์ เช่น Chrome มีจริง ทำให้มันสวยยากที่จะ ดำเนินการต่อไปอย่างไรก็ตาม แน่นอนพวกเขาต้องการให้ฉัน ที่จะกลับไปสู่​​ความปลอดภัย 

ถ้าฉันคลิกที่นี่ล่วงหน้าก็ จะบอกรายละเอียดบางอย่างมากขึ้น และถ้าผมต้องการจริงๆ เพื่อดำเนินการต่อไปพวกเขาจะปล่อยให้ ฉันไปที่ facebook.com ซึ่งเป็น อีกจุดที่ไม่ปลอดภัยที่ ฉันจะเห็นหน้าแรกของ Facebook, เช่นนี้ แต่สิ่งที่แล้วอื่น ๆ ดูเหมือนจะทำลาย สิ่งที่อาจจะทำลายที่จุดนี้? ผู้ชม: JavaScript เดวิดเจลัน: ชอบ JavaScripts และ / หรือ CSS ไฟล์เดียวกัน พบข้อผิดพลาดที่ ดังนั้นนี้เป็นเพียงสถานการณ์ที่เลวร้ายโดยรวม แต่จุดที่นี่คือว่าอย่างน้อย Facebook ไม่แน่นอนมีการเปิดใช้งาน SSL สำหรับเซิร์ฟเวอร์ของพวกเขาเป็นเว็บไซต์หลาย ทำ แต่ไม่จำเป็นต้องทั้งหมด 

แต่นั่นไม่ได้คนเดียว Takeaway ที่นี่ ปรากฎว่าแม้ SSL ได้รับการแสดงให้เห็นถึง จะไม่ปลอดภัยในบางวิธี ดังนั้นฉันจัดเรียงของเค้า SSL ที่ดี มองหา URL ที่ HTTPS และชีวิตก็คือ ที่ดีเพราะทั้งหมดของการจราจร HTTP ของคุณ และส่วนหัวและเนื้อหาจะถูกเข้ารหัส 

ไม่มีใครสามารถสกัดกั้นไว้ใน กลางยกเว้นสำหรับคนที่เรียกว่า อยู่ตรงกลาง นี้เป็นเทคนิคทั่วไป ในโลกของการรักษาความปลอดภัยที่รู้จักกัน เป็นการโจมตีมนุษย์ในกลาง สมมติว่าคุณกำลังเล็ก ๆ นี้ แล็ปท็อปไปที่นี่ด้านซ้าย และสมมติว่าคุณกำลังพยายามที่จะเยี่ยมชม เซิร์ฟเวอร์ที่นั่นด้านขวา เช่น facebook.com 

แต่คิดว่าใน ระหว่างคุณและ Facebook, เป็นทั้งกลุ่มของเซิร์ฟเวอร์และอื่น ๆ อุปกรณ์เช่นสวิตช์และเราเตอร์, เซิร์ฟเวอร์ DNS, DHCP เซิร์ฟเวอร์, ไม่มีใครที่เราควบคุม มันอาจจะถูกควบคุมโดย Starbucks หรือฮาร์วาร์หรือ Comcast หรือชอบ ดีสมมติว่าใครบางคน ประสงค์ร้ายในเครือข่ายของคุณ ในระหว่างคุณและ Facebook, สามารถที่จะบอกคุณ ที่คุณรู้ว่าสิ่งที่อยู่ IP ของ Facebook เป็นไม่ใช่สิ่งที่คุณคิดว่ามันเป็น มันเป็นไอพีนี้แทน 

และเพื่อให้เบราว์เซอร์ของคุณ หลอกให้ขอ อัตราการเข้าชมจากที่อื่น คอมพิวเตอร์ทั้งหมด ดีสมมติว่าคอมพิวเตอร์ที่ เพียงแค่ดูที่ทั้งหมด ของการจราจรที่คุณกำลังขอจาก Facebook และทั้งหมดของหน้าเว็บ ว่าคุณกำลังขอจาก Facebook และเวลาใด ๆ ที่เห็นในการเข้าชมของคุณ URL ที่เริ่มต้นด้วย HTTPS, มันแบบไดนามิกบน บินปรับเปลี่ยนเป็น HTTP และเวลาใด ๆ ที่เห็นว่าสถานที่ตั้ง ส่วนหัวของลำไส้ใหญ่สถานที่ เหมือนอย่างที่เราใช้ในการเปลี่ยนเส้นทาง ผู้ใช้เหล่านั้นเกินไป สามารถเปลี่ยนแปลงได้โดยผู้ชายคนนี้ใน กลางจาก HTTPS เพื่อ HTTP 

ดังนั้นแม้ว่าคุณเองอาจจะ คิดว่าการที่คุณกำลังที่แท้จริง Facebook, มันเป็นสิ่งที่ไม่ยากสำหรับ ฝ่ายตรงข้ามที่มีการเข้าถึงทางกายภาพ เครือข่ายของคุณเพียงแค่ กลับหน้าเพื่อให้คุณทราบว่า ลักษณะเช่น Gmail ที่ ลักษณะเช่น Facebook, และแน่นอน URL ที่เป็น เหมือนกันเพราะพวกเขากำลัง ทำท่าจะมีชื่อโฮสต์ที่เดียวกัน เพราะการแสวงหาผลประโยชน์ของ DNS บาง หรือบางส่วนของระบบอื่น ๆ เช่นนั้น และผลที่ตามมาก็คือ ว่ามนุษย์เราอาจจะเท่านั้น ตระหนักว่าตกลงลักษณะนี้เช่น Gmail หรืออย่างน้อยรุ่นเก่า เป็นสไลด์นี้จาก การนำเสนอเก่า แต่ดูเหมือนว่าเจ้านี่ http://www.google.com 

ดังนั้นที่นี่ด้วยความเป็นจริง คือวิธีการที่หลายท่าน เมื่อคุณไปที่ Facebook หรือ Gmail หรือใด ๆ เว็บไซต์และคุณรู้ว่าบางสิ่งบางอย่างเล็ก ๆ น้อย ๆ เกี่ยวกับ SSL กี่ของคุณทางร่างกาย พิมพ์ https: // และแล้วเว็บไซต์ ชื่อ, ใส่ ส่วนมากของเราเพียงแค่พิมพ์เช่น CS50, กด Enter หรือ F-สำหรับ Facebook และกด Enter และปล่อยให้มันอัตโนมัติสมบูรณ์ แต่เบื้องหลังถ้า คุณดูการจราจร HTTP ของคุณ อาจมีทั้งกลุ่ม ส่วนหัวของสถ​​านที่เหล่านั้น ที่ส่งจาก Facebook เพื่อ www.facebook.com เพื่อ https://www.facebook.com 

เพื่อให้เป็นหนึ่งหรือมากกว่าการทำธุรกรรม HTTP ที่ข้อมูลของคุณจะสมบูรณ์ ส่งในที่ชัดเจน, ไม่มี การเข้ารหัสใด ๆ ตอนนี้ที่อาจจะไม่ได้เช่นขนาดใหญ่ จัดการถ้าสิ่งที่คุณกำลังพยายามที่จะทำ คือการเข้าถึงหน้าแรกของคุณไม่ได้ ส่งชื่อผู้ใช้และรหัสผ่านของคุณ แต่มันเป็นสิ่งที่อยู่ข้างใต้ เครื่องดูดควันโดยเฉพาะอย่างยิ่ง สำหรับเว็บไซต์ PHP-based ที่ยัง ถูกส่งกลับมาเมื่อ คุณเข้าเยี่ยมชมหน้าเว็บบางอย่างถ้า ที่ใช้เว็บไซต์พูด, PHP และใช้ฟังก์ชันการทำงานเช่น pset7? อะไรคือสิ่งที่ถูกส่งกลับมา ในส่วนหัว HTTP ของคุณที่ให้คุณ การเข้าถึงสวย ที่มีประโยชน์สุดของโลกใน PHP? 

ผู้ชม: คุกกี้ 

เดวิดเจลัน: คุกกี้ โดยเฉพาะคุกกี้ ID PHP เพศ ดังนั้นจำถ้าเราไปถึง พูด cs50.harvard.edu อีกครั้ง แต่เวลานี้ขอเปิดขึ้น แท็บเครือข่ายและตอนนี้ขึ้นที่นี่ ขออย่างแท้จริงเพียงแค่ไป เพื่อ http://cs50.harvard.edu แล้วกด Enter แล้วมองไปที่หน้าจอลงที่นี่ ขอให้สังเกตว่าเราได้แน่นอน กลับ 301 ย้ายอย่างถาวร ข้อความซึ่งหมายความว่า มีส่วนหัวของสถ​​านที่ตั้งที่นี่ ซึ่งตอนนี้ผมเปลี่ยนเส้นทาง HTTPS 

แต่จับคือว่าถ้าผมมีอยู่แล้ว คุกกี้ประทับบนมือของฉันจริง ในขณะที่เราได้กล่าวมาก่อนและ ผมจัดเรียงของมนุษย์ไม่รู้ เพียงแค่ไปที่ไม่ปลอดภัย รุ่นและเบราว์เซอร์ของฉันใช้มัน เมื่อตัวเองเพื่อแสดงความประทับมือว่า คำขอแรกซึ่งเป็นผ่านทาง HTTP, คนหนึ่งคนใดในกลางใด ๆ ศัตรูที่อยู่ตรงกลาง สามารถตามหลักวิชาเพียงแค่เห็น ที่ส่วนหัว HTTP เพียง เหมือนอย่างที่เรากำลังมองหาที่พวกเขาที่นี่ มันเป็นเพียงครั้งเดียวที่คุณอยู่ พูดคุยกับ HTTPS URL ที่ไม่ประทับมือที่ตัวเองได้รับ เข้ารหัสลาซีซาร์หรือ Vigenere, แต่มีขั้นตอนวิธีที่นักเล่นทั้งหมด ดังนั้นที่นี่เกินไปแม้ว่า เว็บไซต์ที่ใช้ HTTPS, มนุษย์เราได้รับการปรับอากาศขอบคุณ เทคนิคอัตโนมัติสมบูรณ์และอื่น ๆ ไม่ได้คิดเกี่ยวกับ ผลกระทบที่อาจเกิดขึ้น ตอนนี้มีวิธีที่รอบนี้ ยกตัวอย่างเช่นจำนวนมาก เว็บไซต์ที่สามารถกำหนดค่า เพื่อที่ว่าเมื่อคุณมีมือนี้ แสตมป์ที่คุณสามารถบอกเบราว์เซอร์ ประทับมือนี้เป็นเพียง สำหรับการเชื่อมต่อ SSL เบราว์เซอร์ไม่ควรนำเสนอ ให้ฉันจนกว่าจะผ่าน SSL แต่เว็บไซต์จำนวนมาก ไม่รำคาญกับที่ และเว็บไซต์จำนวนมากเห็นได้ชัด ไม่ได้รำคาญด้วย SSL เลย 

ดังนั้นสำหรับข้อมูลเพิ่มเติมเกี่ยวกับว่ามีจริง สิ่งสกปรกมากยิ่งขึ้นในงานนำเสนอนี้ ที่เพื่อนให้ที่เรียกว่าสีดำ การประชุมหมวกสองสามปีที่ผ่านมา ที่มีคนอื่น ๆ แม้กระทั่ง เทคนิคที่เป็นอันตรายคนได้ใช้ คุณอาจเรียกคืนครั้งนี้ ความคิดของ favicon, ซึ่ง เป็นเหมือนโลโก้เล็ก ๆ น้อย ๆ ที่ มักจะอยู่ในหน้าต่างเบราว์เซอร์ ดีสิ่งที่ได้รับ เรื่องธรรมดาในหมู่คนเลวเป็น เพื่อให้ไอคอน Fab ที่มีลักษณะเหมือนอะไร? ผู้ชม: [ไม่ได้ยิน] เดวิดเจลัน: พูดอีกครั้งหรือไม่ ผู้ชม: เว็บไซต์ เดวิดเจลัน: ไม่เว็บไซต์ ดังนั้น favicon ไอคอนเล็ก ๆ สิ่งที่จะเป็นมากที่สุด ที่เป็นอันตราย, สิ่งที่บิดเบือน คุณสามารถทำให้เว็บไซต์ของคุณ ไอคอนเริ่มต้นมีลักษณะอย่างไร ผู้ชม: ล็อคสีเขียว เดวิดเจลัน: มีอะไรที่? ผู้ชม: ล็อคเล็ก ๆ สีเขียว เดวิดเจลัน: ชอบ ล็อคสีเขียวว่า ดังนั้นคุณจึงสามารถมีความงามนี้ ของกุญแจสีเขียวเล็ก ๆ น้อย ๆ เค้าไปทั่วโลก, โอ้เราไม่ การรักษาความปลอดภัยเมื่ออีกครั้งทั้งหมดก็หมายความว่า คือการที่คุณรู้ HTML บาง ดังนั้นหักหลัง หมายถึงว่าที่ หากคุณมีใครสักคนที่เป็นชนิดของ ดมกลิ่นคลื่นในห้องนี้ที่นี่ หรือมีการเข้าถึงทางกายภาพเพื่อ เครือข่ายและสามารถดูคุกกี้ของคุณ เขาหรือเธอสามารถคว้าที่ คุกกี้ ID PHP เพศ แล้วถ้าพวกเขากำลัง ฉลาดพอที่จะรู้ว่า วิธีการส่งคุกกี้ที่เป็นของตัวเอง ประทับมือเพียงโดยการคัดลอกค่าที่ และส่งส่วนหัว HTTP, ใครบางคนมากได้อย่างง่ายดายสามารถ เข้าสู่ระบบใด ๆ ของ Facebook บัญชีหรือบัญชี Gmail หรือบัญชีทวิตเตอร์ที่อยู่ที่นี่เปิด ในห้องพักถ้าคุณไม่ได้ใช้ SSL และหากเว็บไซต์ที่เป็น ไม่ได้ใช้ SSL อย่างถูกต้อง 

จึงขอเปลี่ยนแปลงไปยังอีกที่หนึ่ง ดังนั้นอีกเรื่องจริง และเพียงแค่นี้ยากจนใน ข่าวหรือสองสัปดาห์ที่ผ่านมา Verizon ได้รับการทำ เป็นสิ่งที่ชั่วร้ายมาก และเป็นคนที่ดีที่สุดสามารถบอก อย่างน้อยตั้งแต่ปี 2012 ด้วยเหตุนี้, เมื่อคุณเข้าถึงเว็บไซต์ผ่านทาง Verizon โทรศัพท์มือถือ, ผู้ผลิตสิ่งที่มันเป็น พวกเขาได้รับเกินคน, เป็นเรื่องที่ไป ฉีดเข้าไปในทั้งหมดของ HTTP ของคุณ การจราจรส่วนหัว HTTP ของตัวเอง และที่ส่วนหัวของรูปลักษณ์ เหมือนเจ้านี่ X-UIDH UID เหมือนที่ไม่ซ้ำกัน ระบุผู้ใช้หรือรหัส และ X ก็หมายความว่านี่คือที่กำหนดเอง ส่วนหัวที่ไ​​ม่ได้มาตรฐาน 

แต่สิ่งที่นี้หมายถึง คือว่าถ้าผมดึงขึ้น ตัวอย่างเช่นเว็บไซต์ใด ๆ ที่ตรงนี้โทรศัพท์ของฉัน และฉันใช้ Verizon เป็น carrier-- ของฉัน แม้ว่าเบราว์เซอร์ของฉันอาจจะไม่ จะส่ง HTTP นี้ ส่วนหัว, Verizon, โดยเร็ว เป็นสัญญาณถึงของพวกเขา หอโทรศัพท์มือถืออยู่ที่ไหนสักแห่ง ได้รับบางครั้งการฉีดนี้ ส่วนหัวเป็นทั้งหมดของการจราจร HTTP ของเรา ทำไมพวกเขาทำเช่นนี้? สันนิษฐานสาเหตุการติดตาม สำหรับเหตุผลที่โฆษณา 

แต่การตัดสินใจการออกแบบปัญญาอ่อน ที่นี่เป็นที่ส่วนหัว HTTP, ขณะที่พวกคุณรู้จาก pset6, จะได้รับโดยเว็บเซิร์ฟเวอร์ใด ๆ ว่าคุณกำลังร้องขอการจราจรของ ดังนั้นตลอดเวลานี้ถ้า คุณได้รับการเข้าเยี่ยมชม Facebook หรือ Gmail หรือเว็บไซต์ใด ๆ ที่ไม่ได้ใช้ SSL ทุก time-- และที่จริงเหล่านั้น สองโชคดีที่ตอนนี้ do-- แต่เว็บไซต์อื่น ๆ ที่ ไม่ได้ใช้ SSL ตลอดเวลา Verizon มีเป็นหลัก รับการปลูกกวาดต้อน ประทับมือทั้งหมดของเรา มือว่าแม้เราจะไม่เห็น แต่เว็บไซต์ที่ปลายทำ และดังนั้นจึงยังไม่ได้รับการที่ ยากสำหรับทุกคนบนอินเทอร์เน็ต ใช้เว็บเซิร์ฟเวอร์ไปยัง ตระหนักโอนี้เป็นเดวิด หรือโอนี้เป็น Davin แม้ว่าเรา ที่เข้มงวดเกี่ยวกับการล้างคุกกี้ของเรา เพราะมันไม่ได้มาจากเรา มันมาจากผู้ให้บริการ 

ที่พวกเขาทำในการค้นหาหมายเลขโทรศัพท์ของคุณ แล้วบอกว่าโอ้นี่คือเดวิด ผมขอฉีดระบุที่ไม่ซ้ำเพื่อให้ ว่าผู้โฆษณาหรือใครก็ตามที่เราสามารถ ติดตามนี้ ดังนั้นนี้เป็นจริงมาก มากไม่ดีมากและน่ากลัว และฉันจะแนะนำให้คุณ มาดูตัวอย่างเช่น ที่ URL นี้ซึ่งผมควรจะปฏิเสธ ที่จริงผมพยายามนี้ในเช้าวันนี้ ผมเขียนสคริปเล็ก ๆ น้อย ๆ วางไว้ที่ URL นี้ เข้าเยี่ยมชมมันกับ Verizon ของตัวเอง โทรศัพท์มือถือหลังจากเปิด Wi-Fi ออก ดังนั้นคุณต้องเปิด Wi-Fi ออกเพื่อให้ คุณกำลังใช้ 3G หรือ LTE หรือชอบ แล้วถ้าคุณเข้าเยี่ยมชม URL นี้สคริปต์ทั้งหมดนี้ ไม่ให้พวกคุณถ้า คุณต้องการที่จะเล่น มันถ่มน้ำลายออกมาสิ่งที่ส่วนหัว HTTP โทรศัพท์ของคุณถูกส่งไปยังเซิร์ฟเวอร์ของเรา และที่จริงผมในความเป็นธรรมก็ ไม่เห็นนี้ในเช้าวันนี้ซึ่ง ทำให้ฉันคิดว่าทั้งท้องถิ่น หอโทรศัพท์มือถือของฉันถูกเชื่อมต่อกับ หรือ whatnot ไม่ได้ทำมันหรือพวกเขาได้ ได้รับการสนับสนุนจากการทำเช่นนี้เป็นการชั่วคราว แต่สำหรับข้อมูลเพิ่มเติม ที่จะมุ่งหน้าไปยัง URL นี้ที่นี่ 

และตอนนี้เจ้านี่นี้ การ์ตูนอาจทำให้รู้สึก ไม่มี? ตกลง สิทธิ์ทั้งหมด ที่เสียชีวิต สิทธิ์ทั้งหมด 

ดังนั้นลองมาดูที่สองมากขึ้น การโจมตีถ้าเพียง แต่จะสร้างความตระหนักใน แล้วมีคู่ การแก้ปัญหาที่อาจเกิดขึ้น เพื่อให้คุณทุกความสนใจมากขึ้น หนึ่งที่เราพูดคุยเกี่ยวกับอื่น ๆ นี้ วัน แต่ไม่ได้ให้ชื่อมัน มันข้ามไซต์ปลอมแปลงคำขอซึ่ง เป็นวิธีที่แฟนซีมากเกินไปในการพูด คุณหลอกให้ผู้ใช้ในการคลิกที่ URL เช่นนี้ซึ่งเทคนิคพวกเขา ถึงพฤติกรรมบางอย่างที่ พวกเขาไม่ได้ตั้งใจ 

ในกรณีนี้ดูเหมือนว่า ที่จะพยายามที่จะหลอกลวงฉัน ในการขายหุ้นของกูเกิล และจะประสบความสำเร็จถ้า ฉันโปรแกรมเมอร์ของ pset7, ยังไม่ได้ทำอะไร หรือมากกว่าโดยทั่วไปในสิ่งที่ กรณีฉันเสี่ยงต่อการโจมตี ถ้ามีคนเทคนิคผู้ใช้คนอื่น เข้าไปคลิก URL ที่เช่นนี้? ใช่? 

ผู้ชม: คุณไม่เห็นความแตกต่าง ระหว่าง GET และ POST 

เดวิดเจลัน: ดี ถ้าเราไม่เห็นความแตกต่าง ระหว่าง GET และ POST, และแน่นอนถ้าเราอนุญาตให้ GET สำหรับการขายสิ่ง เรากำลังเชิญชวนให้ชนิดของการโจมตีครั้งนี้ แต่เรายังคงสามารถลดความมันค่อนข้าง และผมเห็นผมคิดว่า เมื่อสัปดาห์ที่แล้วว่า Amazon อย่างน้อย พยายามที่จะลดความเสี่ยงนี้ด้วยเทคนิค ที่ตรงไปตรงสวย สิ่งที่จะสิ่งที่สมาร์ท ที่จะทำอยู่บนเซิร์ฟเวอร์ของคุณ มากกว่าแค่สุ่มสี่สุ่มห้าขาย สิ่งที่เป็นสัญลักษณ์ประเภทผู้ใช้มีอะไรบ้าง? ผู้ชม: ยืนยันแปลก? เดวิดเจลัน: หน้าจอยืนยัน, บางสิ่งบางอย่างที่เกี่ยวข้องกับการปฏิสัมพันธ์ของมนุษย์ เพื่อที่ฉันถูกบังคับให้ โทรคำพิพากษา แม้ว่าฉันคลิกอย่างไร้เดียงสา การเชื่อมโยงที่มีลักษณะเช่นนี้ และทำให้ฉันไปที่หน้าจอมือถือที่ อย่างน้อยขอให้ผมยืนยันหรือปฏิเสธ แต่ไม่โจมตีเรื่องผิดปกติโดยเฉพาะอย่างยิ่ง ในที่เรียกว่าฟิชชิ่งหรือสแปมเหมือน การโจมตี 

ตอนนี้หนึ่งนี้เป็นเพียงเล็กน้อยที่ลึกซึ้งยิ่งขึ้น นี่คือการโจมตี cross-site scripting และสิ่งนี้จะเกิดขึ้นหากคุณ เว็บไซต์ไม่ได้ใช้ เทียบเท่า htmlspecialchars และมันก็นำเข้าของผู้ใช้และเพียงแค่ สุ่มสี่สุ่มห้าฉีดลงในหน้าเว็บ เช่นเดียวกับการพิมพ์หรือสะท้อน with-- เหมือนเดิมออกมาเรียกร้องบางสิ่งบางอย่าง เหมือน htmlspecialchars 

ดังนั้นคิดว่าในเว็บไซต์ คำถาม vulnerable.com และคิดว่ามันยอมรับ พารามิเตอร์ที่เรียกว่า Q มองสิ่งที่อาจจะเกิดขึ้น ถ้าฉันจริงคนเลว, พิมพ์หรือหลอกลวงให้ผู้ใช้เข้าไป เข้าเยี่ยมชม URL ที่ดูเหมือนว่าเจ้านี่ q = แท็กสคริปต์เปิดสคริปต์แท็กปิด และอีกครั้งฉันยโส vulnerable.com ที่ไม่ได้ จะหันอันตราย ตัวอักษรเช่นวงเล็บเปิด เป็นหน่วยงาน HTML, เครื่องหมาย, L-T, สิ่งอัฒภาค ที่คุณอาจได้เห็นมาก่อน 

แต่สิ่งที่สคริปต์ หรือรหัส JavaScript ฉันพยายามที่จะหลอกลวง ผู้ใช้ในการดำเนินงาน? ดี document.location หมาย ไปยังที่อยู่ปัจจุบันของเบราว์เซอร์ของฉัน ดังนั้นถ้าผมทำ document.location = นี้จะช่วยให้ผมที่จะเปลี่ยนเส้นทางผู้ใช้ ใน JavaScript ไปยังเว็บไซต์อื่น มันก็เหมือนกับฟังก์ชัน PHP ของเรา เปลี่ยนเส้นทาง แต่ทำใน JavaScript 

ฉันพยายามที่จะส่งผู้ใช้ไปที่ไหน? ดีเห็นได้ชัด badguy.com/log.php, ซึ่งเป็นสคริปต์บางอย่างเห็นได้ชัด คนเลวเขียนที่ใช้เวลา คุกกี้พารามิเตอร์ที่เรียกว่า 

และแจ้งให้ทราบว่าสิ่งที่ฉันทำ ดูเหมือนจะเชื่อมโยง ไปยังจุดสิ้นสุดของเครื่องหมายเท่ากับว่า? ดีสิ่งที่ กล่าวว่า document.cookie เรายังไม่ได้พูดคุยกันเกี่ยวกับเรื่องนี้ แต่มันจะเปิดออกใน JavaScript, เช่นเดียวกับใน PHP, คุณสามารถเข้าถึงทั้งหมดของคุกกี้ ที่เบราว์เซอร์ของคุณจะใช้จริง 

ดังนั้นผลของการอย่างใดอย่างหนึ่ง บรรทัดของรหัสถ้าผู้ใช้ ถูกหลอกให้คลิกที่ลิงค์นี้ และ vulnerable.com เว็บไซต์ไม่ได้ หลบหนีไปพร้อมกับ htmlspecialchars, คือการที่คุณมีเพียงได้อย่างมีประสิทธิภาพ อัปโหลดไปยัง log.php ทั้งหมดของคุกกี้ของคุณ และที่ไม่เคยมีปัญหาว่า ยกเว้นถ้าหนึ่งในคุกกี้เหล่านั้น เป็นรหัสเซสชันของคุณของคุณ ที่เรียกว่าการประทับมือซึ่ง หมายความว่า badguy.com สามารถทำให้เขาหรือเธอเอง ร้องขอ HTTP ส่งมือเดียวกันกับที่ ประทับส่วนหัวของคุกกี้ที่เดียวกัน และเข้าสู่เว็บไซต์ใด ๆ ก็ตาม คุณเข้ามาเยี่ยมชมซึ่งใน กรณีนี้เป็น vulnerable.com มันเป็นสคริปต์ข้ามไซต์ การโจมตีในความรู้สึก ว่าคุณกำลังจัดเรียงของหลอก เว็บไซต์หนึ่งไปบอก เว็บไซต์ที่เกี่ยวกับข้อมูลบางอย่างอื่น ก็ไม่ควรที่ในความเป็นจริงมีการเข้าถึง 

สิทธิทั้งหมดพร้อมสำหรับการอย่างใดอย่างหนึ่ง รายละเอียดอื่น ๆ ที่น่าเป็นห่วง? สิทธิทั้งหมดโลกคือ สถานที่ที่น่ากลัวเพื่อให้ถูกต้องตามกฎหมาย นี่คือที่เรียบง่าย ตัวอย่างเช่น JavaScript ที่เป็น ในรหัสแหล่งที่มาของวันนี้ ที่เรียกว่าการระบุพิกัดตำแหน่ง 0 และ 1 และมีคู่ walkthroughs ออนไลน์นี้ 

และมันก็ไม่ต่อไปนี้ถ้าฉัน เปิดหน้าเว็บนี้ใน Chrome มันเป็นครั้งแรกไม่ทำอะไรเลย ตกลงเราจะพยายามนี้อีกครั้ง โอ้ ไม่มีก็ควรทำอะไรบางอย่าง ตกลงยืนตาม 

ลองนี้อีกครั้ง [ไม่ได้ยิน] โอ้ตกลงไม่แน่ใจว่าทำไม ยกกำลังโอ้เครื่องใช้ไฟฟ้า อาจจะหายไปอินเทอร์เน็ต การเข้าถึงด้วยเหตุผลบางอย่าง สิทธิทั้งหมดจึงเกิดขึ้นกับฉันเกินไป 

สิทธิทั้งหมดเพื่อแจ้งให้ทราบล่วงหน้า สิ่งที่เกิดขึ้นที่นี่ นี้เป็นความลับที่มอง URL ซึ่ง เป็นเพียงหนึ่งในเซิร์ฟเวอร์ CS50, ต้องการที่จะใช้ของคอมพิวเตอร์ของฉัน สถานที่ตั้งเช่นร่างกายมันหมายความว่า และถ้าจริงผมคลิกที่ ให้เรามาดูสิ่งที่เกิดขึ้น เห็นได้ชัดว่านี่คือละติจูดปัจจุบันของฉัน และยาวพิกัดลง ความละเอียดสาปสวยดี 

ดังนั้นวิธีการที่ฉันได้รับในเรื่องนี้? อย่างไรเว็บไซต์นี้เช่นเซิร์ฟเวอร์ CS50, รู้ว่าร่างกายที่ในโลก ฉันกำลังให้อยู่คนเดียวด้วยความแม่นยำที่ ดีเปลี่ยนแทนดูให้เพียง ดู source-- หน้า ว่าในที่นี่เป็นพวงของ HTM​​L ที่ ด้านล่างแรกที่มีเจ้านี่ onload ร่างกาย = "geolocate" - เพียงฟังก์ชั่นที่ผมเขียน 

และฉันบอกว่าในการโหลด หน้า Geolocate โทร และจากนั้นก็ไม่มีอะไร ในร่างกายเพราะ ในหัวของหน้า, สังเกตเห็นสิ่งที่ฉันได้ที่นี่ นี่คือการทำงานของ Geolocate ของฉัน และนี่เป็นเพียงข้อผิดพลาดบาง checking-- ถ้าประเภทของ navigator.geolocation ไม่ได้กำหนด ดังนั้น JavaScript มีนี้ กลไกที่คุณ สามารถพูดสิ่งที่เป็น ประเภทของตัวแปรนี้? และถ้ามันไม่ได้ undefined-- นั่นหมายความว่ามันเป็น value-- บาง ฉันจะเรียก navigator.geolocation.getCurrentPosition แล้วโทรกลับ 

สิ่งนี้คืออะไร ดังนั้นโดยทั่วไปสิ่งที่เป็น โทรกลับเพียงเพื่อจะชัดเจน? คุณอาจได้พบ นี้มีอยู่แล้วใน pset8 โทรกลับเป็นทั่วไป คำที่ใช้ทำอะไร? รู้สึกเหมือนฉันในวันนี้ ผู้ชม: [ไม่ได้ยิน] เดวิดเจลัน: แน่นอน, ฟังก์ชั่นที่ควร จะเรียกว่าเฉพาะเมื่อเรามีข้อมูล เรียกร้องให้เบราว์เซอร์นี้ได้รับปัจจุบันของฉัน ตำแหน่งอาจใช้เวลาหนึ่งมิลลิวินาที มันอาจจะใช้เวลาสักครู่ หมายความว่านี่คือเราจะบอก วิธีการรับ getCurrentPosition, เรียกฟังก์ชันเรียกกลับนี้ ซึ่งผมเรียกชื่อตามตัวอักษร สำหรับความเรียบง่ายซึ่ง เห็นได้ชัดว่าเป็นหนึ่งที่นี่ 

และวิธีการทำงาน getCurrentPosition, โดยเพียงแค่การอ่านเอกสาร สำหรับบางออนไลน์รหัส JavaScript เป็น ที่เรียกว่าที่เรียกว่าโทรกลับ ฟังก์ชั่นผ่านมันไป มันเป็นวัตถุ JavaScript, ภายในซึ่งเป็น .coords.latitude และ .coords.longitude, ซึ่งเป็นว่าวิธีการแล้ว เมื่อผมโหลดหน้านี้ ผมก็สามารถที่จะดูสถานที่ของฉันที่นี่ ตอนนี้อย่างน้อยที่สุดก็มีการป้องกันที่นี่ ก่อนที่ผมจะเข้าเยี่ยมชมหน้านี้ เมื่อมันทำงานจริง สิ่งที่ฉันอย่างน้อยได้รับแจ้งหรือไม่? 

ผู้ชม: [ไม่ได้ยิน] 

เดวิดเจลัน: ใช่หรือ no-- ทำ คุณต้องการที่จะอนุญาตหรือปฏิเสธเรื่องนี้? แต่คิดว่าเหมือนกันเกี่ยวกับพฤติกรรม พวกคุณอาจจะได้รับการยอมรับ, ทั้งบนโทรศัพท์มือถือและเบราว์เซอร์ของคุณ ส่วนมากของเราเอง รวมอาจจะ สวยเหล่านี้มัก days-- คุณ เห็นป๊อปอัพเพียงแค่ใส่, OK อนุมัติ ให้ และเพิ่มมากขึ้นคุณสามารถใส่ ด้วยตัวคุณเองที่มีความเสี่ยงสำหรับเหตุผลเหล่านั้น 

ดังนั้นในความเป็นจริงมีข้อผิดพลาดนี้เป็นที่ยอดเยี่ยม ไม่กี่ปีที่ ago-- หรือขาด feature-- ที่ iTunes มีไม่กี่ปีที่ผ่านมา โดยถ้าคุณมีโทรศัพท์มือถือ และมันเป็น iPhone, และคุณออกจากบ้านของคุณ และดังนั้นจึงเดินทางไปทั่วโลก หรือพื้นที่ใกล้เคียงตลอดเวลานี้ โทรศัพท์ของคุณได้รับการเข้าสู่ระบบ ที่ที่คุณอยู่ผ่านทาง GPS และนี่คือการเปิดเผยความจริง และชนิดของคนคาดหวังในตอนนี้ โทรศัพท์ของคุณรู้ว่าคุณจะอยู่ที่ไหน แต่ปัญหาก็คือว่า เมื่อคุณได้สำรอง โทรศัพท์ของคุณเพื่อ iTunes-- นี้ก่อน วันที่ของ iCloud ซึ่งเป็นทางที่ดีขึ้น หรือ worse-- ข้อมูลที่ถูกเก็บไว้ ใน iTunes เข้ารหัสอย่างสมบูรณ์ ดังนั้นถ้าคุณมีครอบครัวหรือเพื่อนร่วมห้อง หรือเพื่อนบ้านที่เป็นอันตรายใคร อยากรู้เกี่ยวกับตัวอักษรทุกจีพีเอส การประสานงานที่คุณได้เคยไป, เขาหรือเธอสามารถทำได้เพียงแค่ นั่งลงที่ iTunes เรียกใช้ ซอฟแวร์บางอย่างที่เป็นได้อย่างอิสระ พร้อมใช้งานและผลิตแผนที่เช่นนี้ 

ในความเป็นจริงนี้เป็นสิ่งที่ฉัน ผลิตของโทรศัพท์ของตัวเอง ผมเสียบไว้ใน และดูเหมือนว่าตาม ในจุดสีฟ้าที่นั่น ที่ที่มากที่สุดของ พิกัดจีพีเอสได้ เข้าสู่ระบบโดย iTunes ที่ฉัน อยู่ในภาคตะวันออกเฉียงเหนือมี แต่ผมเห็นได้ชัดว่าเดินทางไปทั่ว บิตแม้จะอยู่ในแมสซาชูเซต 

นั่นคือบอสตันฮาร์เบอร์ มีอยู่ทางด้านขวา นั่นคือชนิดของเคมบริดจ์และ บอสตันซึ่งเป็นที่มืด และบางครั้งผมจะทำงาน เพื่อทำธุระภูมิศาสตร์ขนาดใหญ่ 

แต่ iTunes สำหรับปีที่ผ่านมาได้อย่างดีที่สุด ผมสามารถบอกข้อมูลทั้งหมดนี้กับฉัน คุณสามารถบอกได้ว่า ปีที่แล้วผมเป็นจริง เดินทางมากระหว่างบอสตัน และนิวยอร์กจะกลับมา และกลับมา และแน่นอนนี่คือฉันในแอมแทร็กลับ มากลับมาไม่น้อย จากข้อมูลทั้งหมดที่ถูกบันทึกไว้และ เก็บไว้เข้ารหัสบนคอ​​มพิวเตอร์ของฉัน สำหรับทุกคนที่อาจจะมี การเข้าถึงคอมพิวเตอร์ของฉัน 

นี่คือความน่าเป็นห่วง ผมไม่ทราบว่าทำไมผม ในรัฐเพนซิลวาเนียหรือทำไม โทรศัพท์ของฉันอยู่ในรัฐเพนซิลวาเนีย เห็นได้ชัดค่อนข้างหนาแน่น และแล้วในที่สุดผมมอง ที่ Gcal ของฉันและโอ้ฉัน เข้าเยี่ยมชมมหาวิทยาลัยเชียงใหม่, คาร์เนกี เมลลอนในเวลานั้น และว้าชนิดของที่ อธิบายสัญลักษณ์ว่า แล้วถ้าคุณซูม ออกมาเพิ่มเติมที่คุณสามารถ เห็นผมไปเยี่ยมที่ซานฟรานซิส หนึ่งครั้งหรือมากกว่านั้น และฉันยังมีหยุดพักในสิ่งที่ ฉันคิดว่าเป็นสเวกัสลงไปที่นั่น ดังนั้นทั้งหมดของเจ้านี่เพียง หยุดพักที่สนามบิน 

ผู้ชม: [หัวเราะ] 

ดังนั้นนี้เป็นเพียงที่จะบอกว่าสิ่งเหล่านี้ ปัญหาสุจริตมีอยู่ทั่วไปทุกหนทุกแห่ง และมันรู้สึก ชอบมากขึ้นมี มากขึ้นและมากขึ้นในการนี​​้ได้รับการเปิดเผย ซึ่งอาจเป็นสิ่งที่ดี ฉัน daresay โลกไม่ได้ เลวร้ายลงที่เขียนซอฟต์แวร์ เรากำลังเริ่มดีขึ้น หวังว่าที่สังเกต ซอฟแวร์บางอย่างที่เลวร้าย คือว่าเรากำลังใช้ และโชคดีที่บาง บริษัท จะเริ่มต้น ที่จะต้องรับผิดชอบในเรื่องนี้ 

แต่สิ่งที่ชนิดของการป้องกัน คุณสามารถมีในใจ? ดังนั้นนอกเหนือจากผู้จัดการรหัสผ่านเช่น 1Password และ LastPass และอื่น ๆ นอกเหนือจากเพียงแค่เปลี่ยนรหัสผ่านของคุณ และขึ้นมากับคนที่สุ่ม โดยใช้ซอฟแวร์เช่น นั้นคุณยังสามารถลอง ดีที่สุดเท่าที่คุณสามารถที่จะเข้ารหัส ทั้งหมดของการเข้าชม อย่างน้อยแคบโซนของภัยคุกคาม ดังนั้นสำหรับตัวอย่างเช่นเป็น บริษัท ในเครือฮาร์วาร์ คุณสามารถทั้งหมดไป vpn.harvard.edu และเข้าสู่ระบบด้วย ID ฮาร์วาร์ของคุณและรหัส PIN และสิ่งนี้จะสร้างความปลอดภัย การเชื่อมต่อระหว่างคุณและฮาร์วาร์ 

ตอนนี้ที่ไม่ได้ จำเป็นต้องปกป้องคุณ ภัยคุกคามใด ๆ ที่อยู่ระหว่าง ฮาร์วาร์และ Facebook หรือฮาร์วาร์ และ Gmail แต่ถ้าคุณกำลังนั่งอยู่ ในสนามบินหรือคุณ นั่งอยู่ใน Starbucks หรือคุณ นั่งอยู่ที่สถานที่ของเพื่อน และคุณไม่ได้จริงๆไว้วางใจพวกเขาหรือพวกเขา การกำหนดค่าของเราเตอร์ที่บ้านของพวกเขา อย่างน้อยคุณสามารถสร้าง เชื่อมต่อที่ปลอดภัย นิติบุคคลเช่นสถานที่ที่นี่ อาจจะดีกว่าเล็ก ๆ น้อย ๆ ที่มีความปลอดภัย กว่าสิ่งที่ต้องการ Starbucks หรือชอบ และสิ่งนี้จะเป็น มันกำหนดอีกครั้ง การเข้ารหัสลับระหว่างคุณและปลายทาง 

แม้กระทั่งนักเล่นเป็นสิ่งที่ต้องการนี​​้ ดังนั้นบางส่วนของคุณอาจอยู่แล้ว จะคุ้นเคยกับทอร์ ซึ่งเป็นที่จัดเรียงของ anonymization นี้ เครือข่ายโดยผู้คนจำนวนมาก ถ้าพวกเขาใช้งานซอฟต์แวร์นี้เส้นทาง ต่อมาทางอินเทอร์เน็ต การจราจรผ่านกันและกัน ดังนั้นจุดที่สั้นที่สุดคือ ไม่ได้ระหว่าง A และ B แต่มันอาจจะทั่วทุกมุม สถานที่เพื่อให้คุณเป็นหลัก ครอบคลุมแทร็คหนึ่งและออกจาก น้อยของการบันทึกเป็นไปที่ HTTP ของคุณ การจราจรที่มาจากเพราะมันจะ ผ่านทั้งกลุ่มของคนอื่น แล็ปท็อปหรือเดสก์ท็ ให้ดีขึ้นหรือแย่ลง 

แต่แม้น​​ี้ไม่ได้เป็นสิ่งที่ surefire บางท่านอาจจำได้ว่าปีที่ผ่านมา ความหวาดกลัวระเบิดที่ถูกเรียกว่า และมันก็โยงไปในท้ายที่สุด ผู้ใช้ที่ได้ใช้เครือข่ายนี้ที่นี่ และมีการจับที่ผมจำได้คือ ถ้ามีคนอื่น ๆ ไม่ได้ว่าหลาย ๆ โดยใช้ซอฟแวร์เช่นนี้หรือ ใช้พอร์ตนี้และโปรโตคอล มันไม่ยากสำหรับเครือข่ายที่จะได้ คิดออกที่มีความน่าจะเป็นบางส่วน ในความเป็นจริง anonymizing ของเขาหรือเธอจราจร 

และผมไม่ทราบว่าผู้ที่เป็น รายละเอียดที่เกิดขึ้นจริงในคำถาม แต่แน่นอนว่าไม่มีใครรู้ว่า เหล่านี้เป็นโซลูชั่นที่ surefire รวม และเป้าหมายของที่นี่ในวันนี้คือไปหาน้อย ให้คุณได้รับความคิดเกี่ยวกับสิ่งเหล่านี้ และขึ้นมาพร้อมกับเทคนิคการ ปกป้องตัวเองกับพวกเขา คำถามใด ๆ เกี่ยวกับภัยคุกคาม ที่รอคอยให้คุณออกมีและในที่นี่? ใช่? ผู้ชม: วิธีการรักษาความปลอดภัยทำ เราคาดว่าค่าเฉลี่ย [? ? เว็บไซต์จะเป็น] เช่น โครงการ CS50 เฉลี่ย? 

เดวิดเจลัน: โครงการ CS50 เฉลี่ย? ได้พิสูจน์ให้เห็นเสมอทุกปีว่า โครงการสุดท้าย CS50 บางอย่างไม่ได้ การรักษาความปลอดภัยโดยเฉพาะอย่างยิ่ง มักจะเป็นเพื่อนร่วมห้องหรือบางส่วน hallmate ว่าตัวเลขนี้ออกมา โดยการส่งคำขอไปยังโครงการของคุณ 

answer-- สั้นหลายวิธี เว็บไซต์ที่ปลอดภัยหรือไม่ ฉันเลือกที่ผิดปกติวันนี้ เหมือนมันเป็นเพียงแค่บังเอิญ ที่ฉันตระหนักว่าเว็บไซต์นี้ ฉันได้รับการสั่งซื้อเหล่านี้ตรงไปตรงมา เตรียมอร่อย from-- และผมไม่แน่ใจว่าฉันจะ หยุดการใช้เว็บไซต์ของพวกเขา; ผมก็อาจจะมีการเปลี่ยนแปลงของฉัน รหัสผ่าน regularly-- เพิ่มเติม มันไม่ชัดเจนแค่ไหน ความเสี่ยงทั้งหมด various-- เหล่านี้ นี่คือช็อคโกแลตที่ปกคลุมด้วยจริง คำตอบสั้น ๆ ที่ผมไม่สามารถตอบได้ว่า ได้อย่างมีประสิทธิภาพอื่น ๆ กว่าที่จะพูด ก็ไม่ยากสำหรับผมที่จะ พบบางส่วนของตัวอย่างเหล่านี้เพียงแค่ เพื่อประโยชน์ในการอภิปรายในการบรรยาย และเพียงแค่การรักษาตาบน Google News และทรัพยากรอื่น ๆ จะนำทั้งหมดขึ้นของ ชนิดของสิ่งเหล่านี้กับแสง 

สิทธิทั้งหมดขอสรุป กับ prequel นี้ ว่าทีม CS50 ได้เตรียมไว้สำหรับคุณ ในความคาดหมายของ CS50 Hackathon และในทางของคุณออกมาใน ขณะที่ผลไม้จะทำหน้าที่ [การเล่นวิดีโอ] [MUSIC เกรี้ยว Q TIP และ GoonRock " LITTLE กิจการที่ฆ่าไม่เคยไม่มีใคร (ALL เรามี) "] 

- [นอนกรน] [จบการเล่นวิดีโอ] เดวิดเจลัน: นั่นมันสำหรับ CS50 เราจะเห็นคุณในวันพุธที่ [- SKRILLEX "IMMA 'ลอง" เสียงดนตรี]