1 00:00:00,000 --> 00:00:11,300 2 00:00:11,300 --> 00:00:15,490 >> DAVID J.馬蘭:這是CS50, 這是10週的開始。 3 00:00:15,490 --> 00:00:19,460 你可能還記得,我們​​已經證明 屏幕三維打印機,其上 4 00:00:19,460 --> 00:00:21,610 這是設備 採用塑料線軸 5 00:00:21,610 --> 00:00:24,840 然後通過加熱擠壓它 並融化它,這樣我們就可以 6 00:00:24,840 --> 00:00:27,310 成昌軍 象,例如。 7 00:00:27,310 --> 00:00:29,184 >> 因此,在萊弗里特樓 不過,最近,我 8 00:00:29,184 --> 00:00:31,850 在聊天與一個你 同學小張的朋友 9 00:00:31,850 --> 00:00:35,720 名為米歇爾,究竟是誰在實習 在過去的一年這個其他公司 10 00:00:35,720 --> 00:00:40,010 有不同的技術用於實際 創建三維物體 11 00:00:40,010 --> 00:00:41,890 像這樣的小小的這裡象。 12 00:00:41,890 --> 00:00:45,550 特別是,本方​​式的工作原理 是它的東西的例子 13 00:00:45,550 --> 00:00:49,740 所謂的光固化,從而 有樹脂或液體的盆地, 14 00:00:49,740 --> 00:00:53,340 然後激光撞擊該 液體,漸漸的設備 15 00:00:53,340 --> 00:00:56,990 電梯和升降機及升降機的東西 要打印,像一頭大象, 16 00:00:56,990 --> 00:00:58,676 作為液體變成固體。 17 00:00:58,676 --> 00:01:00,550 其結果,實際上 是值得的 18 00:01:00,550 --> 00:01:04,194 比一些更健壯 塑料贈品你們中的一些 19 00:01:04,194 --> 00:01:04,819 可能有。 20 00:01:04,819 --> 00:01:06,860 >> 什麼好心昌 在這裡為我們所做的是 21 00:01:06,860 --> 00:01:12,210 的確使用的照片時間推移 超過一個小時或更多的過程中, 22 00:01:12,210 --> 00:01:14,580 也許,在這裡產生這個傢伙。 23 00:01:14,580 --> 00:01:19,060 會有人誰是永遠不會到來之前 喜歡來打開始對這個視頻? 24 00:01:19,060 --> 00:01:21,250 讓我一起去,怎麼樣在那裡。 25 00:01:21,250 --> 00:01:21,790 上來吧。 26 00:01:21,790 --> 00:01:24,960 27 00:01:24,960 --> 00:01:25,460 行。 28 00:01:25,460 --> 00:01:29,250 29 00:01:29,250 --> 00:01:29,896 你是? 30 00:01:29,896 --> 00:01:31,270 盧克:我叫盧克[聽不清]。 31 00:01:31,270 --> 00:01:31,700 DAVID J.馬蘭:嗨,盧克。 32 00:01:31,700 --> 00:01:32,695 很高興認識你。 33 00:01:32,695 --> 00:01:33,653 >> 盧克:很高興見到你。 34 00:01:33,653 --> 00:01:35,120 聽眾:他是UC的運行。 35 00:01:35,120 --> 00:01:38,640 >> DAVID J.馬蘭:我知道, 我們試圖不提倡。 36 00:01:38,640 --> 00:01:41,240 好吧,讓盧克,所有 你在這裡做的CS50 37 00:01:41,240 --> 00:01:45,829 被擊中空格鍵 打印這頭大象。 38 00:01:45,829 --> 00:01:46,495 [視頻回放] 39 00:01:46,495 --> 00:01:49,988 - [機器呼呼] 40 00:01:49,988 --> 00:02:00,467 41 00:02:00,467 --> 00:02:01,964 - [CRASH] 42 00:02:01,964 --> 00:02:04,459 - [BOOM] 43 00:02:04,459 --> 00:02:06,147 - [CRASH] 44 00:02:06,147 --> 00:02:06,980 [完視頻回放] 45 00:02:06,980 --> 00:02:09,370 DAVID J.馬蘭:所以這正是 是什麼樣子的3D打印。 46 00:02:09,370 --> 00:02:10,453 這是你的大象。 47 00:02:10,453 --> 00:02:12,100 感謝您的志願服務。 48 00:02:12,100 --> 00:02:12,830 行。 49 00:02:12,830 --> 00:02:16,580 如此反复,每次的規範 最後的項目,這個硬件的 50 00:02:16,580 --> 00:02:18,890 提供給你們 是,由於某種原因, 51 00:02:18,890 --> 00:02:21,870 你的項目有一定的交集 的軟件和硬件, 52 00:02:21,870 --> 00:02:24,650 認識到這些是現在的資源。 53 00:02:24,650 --> 00:02:27,750 >> 我想帶一個瞬間觸動 一旦說出來深紅色的文章 54 00:02:27,750 --> 00:02:30,541 昨天深夜,這是 宣布這個傢伙在這裡,大衛· 55 00:02:30,541 --> 00:02:33,920 約翰遜,誰是被高層 導師教統10相當長的一段時間, 56 00:02:33,920 --> 00:02:36,210 離開哈佛的 學年結束。 57 00:02:36,210 --> 00:02:38,390 我只是想 走了一會兒,說實話, 58 00:02:38,390 --> 00:02:41,620 感謝大衛在CS50的面前。 59 00:02:41,620 --> 00:02:44,360 他一直是良師益友 種種對我們多年來的。 60 00:02:44,360 --> 00:02:46,980 >> 而且我覺得像我們,CS50,有 而從小一起長大的Ec 10 61 00:02:46,980 --> 00:02:48,870 在這裡,因為他們在我們面前的權利。 62 00:02:48,870 --> 00:02:52,040 他和歐共體10有整支球隊 一直奇妙恩典,坦率地說, 63 00:02:52,040 --> 00:02:55,410 當我們拖著我們所有的設備 每一個星期,甚至幾年前, 64 00:02:55,410 --> 00:02:57,320 提供了大量 律師的,因為我們是 65 00:02:57,320 --> 00:02:59,520 好奇的是,他們是如何運作的Ec 10。 66 00:02:59,520 --> 00:03:02,640 因此,我們的感謝和 欽佩大衛·約翰遜。 67 00:03:02,640 --> 00:03:06,560 >> [掌聲] 68 00:03:06,560 --> 00:03:08,030 69 00:03:08,030 --> 00:03:12,180 >> 現在,unrelatedly,所以 到底是真的近了。 70 00:03:12,180 --> 00:03:13,630 我們這裡是10週。 71 00:03:13,630 --> 00:03:15,920 我們只有短短 幾個星期正式 72 00:03:15,920 --> 00:03:18,320 在這裡上課離開,隨後 由一對夫婦的事件。 73 00:03:18,320 --> 00:03:21,860 所以,給你一個什麼樣的感覺 在地平線上,我們在這裡今天。 74 00:03:21,860 --> 00:03:24,480 >> 本週三,召回, 我們將有一個客座講座 75 00:03:24,480 --> 00:03:27,040 通過莫屬 微軟自己的史蒂夫·鮑爾默。 76 00:03:27,040 --> 00:03:31,740 如果你還沒有去 cs50.harvard.edu/register, 77 00:03:31,740 --> 00:03:33,360 這樣做,由於空間的限制。 78 00:03:33,360 --> 00:03:36,447 它們將被檢查 這一天的ID在門口。 79 00:03:36,447 --> 00:03:38,280 如果你不在這裡 上週,我想我 80 00:03:38,280 --> 00:03:41,850 逗你有不同的外觀 在史蒂夫和興奮 81 00:03:41,850 --> 00:03:44,215 等待著我們在週三。 82 00:03:44,215 --> 00:03:45,205 >> [視頻回放] 83 00:03:45,205 --> 00:03:46,195 >> -Passion。 84 00:03:46,195 --> 00:03:50,650 >> -We're將是hardcore--鐵桿。 85 00:03:50,650 --> 00:03:51,640 >> -Innovator。 86 00:03:51,640 --> 00:03:53,339 >> -Bill說,你不明白這一點。 87 00:03:53,339 --> 00:03:55,130 我們要放 計算機的每個辦公桌上 88 00:03:55,130 --> 00:03:58,690 而在每一個家庭,成為 座右銘的公司。 89 00:03:58,690 --> 00:04:01,850 我發誓,比爾發明了它 那天晚上真的給我 90 00:04:01,850 --> 00:04:04,370 一些視力 為什麼我應該說是的。 91 00:04:04,370 --> 00:04:07,280 我從來沒有回頭, 真的,在那之後。 92 00:04:07,280 --> 00:04:10,010 >> - 新鮮畢業的大學生,他 加入了一個初出茅廬啟動 93 00:04:10,010 --> 00:04:14,450 並幫助它成長為美國的一 最成功的企業永遠。 94 00:04:14,450 --> 00:04:16,920 的生活和商業 教訓一路上學到 95 00:04:16,920 --> 00:04:19,925 讓他回到他的 童年的激情和熱愛。 96 00:04:19,925 --> 00:04:24,650 而這些經驗已經準備好 他為他的生命中的下一個挑戰。 97 00:04:24,650 --> 00:04:27,150 >> 什麼也沒有得到我們的方式 - 轟! 98 00:04:27,150 --> 00:04:29,330 滾滾而來的鐵桿! 99 00:04:29,330 --> 00:04:31,150 去快船! 100 00:04:31,150 --> 00:04:38,627 >> - 這是史蒂夫·鮑爾默, “在我自己的話。” 101 00:04:38,627 --> 00:04:39,460 [完視頻回放] 102 00:04:39,460 --> 00:04:41,240 DAVID J.馬蘭: - 這個 週三CS50。 103 00:04:41,240 --> 00:04:43,080 再次前往該網址在這裡。 104 00:04:43,080 --> 00:04:46,500 至於是在地平線上還有什麼, 接下來的一周,週一不上課。 105 00:04:46,500 --> 00:04:50,020 但下面我們將是 由上週三測驗之一。 106 00:04:50,020 --> 00:04:54,390 去CS50的主頁了解詳細信息 對人物,地點和時間 107 00:04:54,390 --> 00:04:57,640 對於所有的各種監考的 物流和類似物, 108 00:04:57,640 --> 00:05:00,190 以及關於審查 會議是即將出版。 109 00:05:00,190 --> 00:05:06,479 然後,最後,在週一,當天 感恩節假期的前一周, 110 00:05:06,479 --> 00:05:08,020 意識到這將是我們最後的講座。 111 00:05:08,020 --> 00:05:11,490 我們將竭誠為蛋糕和一個偉大的 這筆交易的興奮,我們希望。 112 00:05:11,490 --> 00:05:13,976 >> 現在,一對夫婦的其他更新。 113 00:05:13,976 --> 00:05:16,350 請記住,狀態 報告顯示,這是真的只是 114 00:05:16,350 --> 00:05:20,430 意味著是一個休閒互動 與你的TF自豪地說出剛 115 00:05:20,430 --> 00:05:23,106 多遠隨著你 最後的項目你, 116 00:05:23,106 --> 00:05:24,980 或至少​​一個神智 檢查你應該 117 00:05:24,980 --> 00:05:27,250 快到了 點此後不久。 118 00:05:27,250 --> 00:05:28,660 那麼黑客馬拉松得出。 119 00:05:28,660 --> 00:05:30,800 實現黑客馬拉松 不是一個機會 120 00:05:30,800 --> 00:05:33,690 開始你的最後項目,但 是指為契機 121 00:05:33,690 --> 00:05:37,040 是在或朝向中間 您的最終項目結束時, 122 00:05:37,040 --> 00:05:41,030 正當一些實施 兩天後,接著CS50公平。 123 00:05:41,030 --> 00:05:43,330 >> 現在,CS50生產 團隊,幾年前, 124 00:05:43,330 --> 00:05:46,127 把一個傳情 為CS50公平,我們 125 00:05:46,127 --> 00:05:48,710 以為我們今天會告訴你, 因為他們一直在努力 126 00:05:48,710 --> 00:05:51,930 在一個前傳的是,一個新的視頻 今天我們將完成與。 127 00:05:51,930 --> 00:05:57,694 但這裡是等著你 今年的CS50公平的。 128 00:05:57,694 --> 00:05:58,360 [視頻回放] 129 00:05:58,360 --> 00:06:00,680 - [CELL電話鈴聲] 130 00:06:00,680 --> 00:06:07,624 131 00:06:07,624 --> 00:06:11,117 [MUSIC“的主題從碟中諜”] 132 00:06:11,117 --> 00:08:47,065 133 00:08:47,065 --> 00:08:52,820 [完視頻回放] 134 00:08:52,820 --> 00:08:56,840 DAVID J.馬蘭:所以這是究竟如何 我們結束最後的項目提交。 135 00:08:56,840 --> 00:08:59,220 一對夫婦現在如果teasers-- 你想加入尼克在這裡 136 00:08:59,220 --> 00:09:02,740 吃午飯,像往常一樣,這 週五前往該URL在這裡。 137 00:09:02,740 --> 00:09:05,530 此外,如果你想 加盟尼克或本尼克 138 00:09:05,530 --> 00:09:08,770 或本佳佳或任何 對CS50的團隊成員, 139 00:09:08,770 --> 00:09:11,110 一定要明白的是,不久, 學期結束後, 140 00:09:11,110 --> 00:09:13,780 CS50將已經招募 對於明年的球隊, 141 00:09:13,780 --> 00:09:18,130 核證機關,轉錄因子,設計師,生產商, 研究人員等崗位 142 00:09:18,130 --> 00:09:21,790 在這裡無論是在操作CS50 前面和後面的場景。 143 00:09:21,790 --> 00:09:25,482 因此,如果這可能會感興趣 給你,前往該網址在這裡。 144 00:09:25,482 --> 00:09:28,190 和學生更舒適, 那麼舒服,而且在某個地方 145 00:09:28,190 --> 00:09:31,710 之間的相似都歡迎 並鼓勵申請。 146 00:09:31,710 --> 00:09:34,920 >> 因此,它是完美的時機了,沒 開玩笑,今天早上,當我醒來時, 147 00:09:34,920 --> 00:09:37,220 我在我的收件箱中有這樣這裡的垃圾郵件。 148 00:09:37,220 --> 00:09:39,420 它實際上下滑 通過Gmail的垃圾郵件過濾器 149 00:09:39,420 --> 00:09:41,659 不知何故,最終在我的實際收件箱。 150 00:09:41,659 --> 00:09:43,700 它說,“親愛的郵箱 用戶,你當前 151 00:09:43,700 --> 00:09:45,240 升級至4 GB的空間。 152 00:09:45,240 --> 00:09:50,750 請登錄您的帳戶 為了驗證電子空間“。 153 00:09:50,750 --> 00:09:54,100 >> 再有就是這個漂亮的藍色 有誘人的鏈接點擊 154 00:09:54,100 --> 00:09:59,480 為教師和工作人員,然後引導我 一個奇妙的合法網頁,其中 155 00:09:59,480 --> 00:10:02,300 讓我給他們我的名字 和電子郵件地址,當然, 156 00:10:02,300 --> 00:10:05,090 密碼,以驗證 我是誰等等。 157 00:10:05,090 --> 00:10:09,330 但是,當然,由於始終是這種情況, 你到達此目標網頁, 158 00:10:09,330 --> 00:10:11,370 當然,還有 至少有一個錯字, 159 00:10:11,370 --> 00:10:14,840 這似乎是在指甲 任何這些詐騙的棺材。 160 00:10:14,840 --> 00:10:17,890 我們會後,或許,一些其他的 鏈接到這些類型的屏幕截圖 161 00:10:17,890 --> 00:10:18,473 在未來。 162 00:10:18,473 --> 00:10:22,535 但我希望,大多數人 這個房間沒有clicked-- 163 00:10:22,535 --> 00:10:24,410 甚至,如果你點擊 這樣的鏈接,因為這, 164 00:10:24,410 --> 00:10:28,040 你還沒有走得很遠, 填寫這些表格等等。 165 00:10:28,040 --> 00:10:30,210 事實上,這是確定的,如果你有。 166 00:10:30,210 --> 00:10:33,410 我們會盡力,今天修復,因為, 的確,今天的談話 167 00:10:33,410 --> 00:10:34,450 有關安全性。 168 00:10:34,450 --> 00:10:36,500 >> 事實上,之一 CS50的目標是不 169 00:10:36,500 --> 00:10:38,980 這麼多教你CE或 PHP或JavaScript和SQL 170 00:10:38,980 --> 00:10:41,610 或任何這些潛在的 實施細則。 171 00:10:41,610 --> 00:10:45,612 但它的授權,你作為人類 只是做出更明智的決策,因為它 172 00:10:45,612 --> 00:10:48,070 涉及到的技術下 路這樣一來,無論你是 173 00:10:48,070 --> 00:10:51,370 工程師或人文主義或 科學家或任何其他的作用, 174 00:10:51,370 --> 00:10:54,970 你做明智的決定 你自己計算的使用, 175 00:10:54,970 --> 00:10:56,980 或者,如果你在一個 決策位置, 176 00:10:56,980 --> 00:10:59,250 在政治上,特別是 你正在做多, 177 00:10:59,250 --> 00:11:02,770 比一個更好的決策 很多今天的人類已經。 178 00:11:02,770 --> 00:11:04,830 我們將通過這樣做 的幾個實施例的方式。 179 00:11:04,830 --> 00:11:09,030 >> 首先,我非常驚訝 最近發現了以下幾點。 180 00:11:09,030 --> 00:11:11,120 當然,如此的密碼, 在我們大多數人 181 00:11:11,120 --> 00:11:18,030 用它來保護我們的數據 - 電子郵件,聊天, 及各種類似的資源。 182 00:11:18,030 --> 00:11:23,020 而剛剛通過的awkward--不顯示 手,但恥辱尷尬的樣子, 183 00:11:23,020 --> 00:11:26,600 你們有多少人使用相同的密碼 在很多不同的網站的? 184 00:11:26,600 --> 00:11:28,020 >> 呵呵,好了,我們會做的手中。 185 00:11:28,020 --> 00:11:30,950 OK,所以很多你這樣做。 186 00:11:30,950 --> 00:11:33,770 任何人誰這樣做,只是為什麼呢? 187 00:11:33,770 --> 00:11:35,078 什麼? 188 00:11:35,078 --> 00:11:36,537 是嗎? 189 00:11:36,537 --> 00:11:39,870 聽眾:這很容易記住,因為 你不必記住[聽不清]。 190 00:11:39,870 --> 00:11:41,703 DAVID J.馬蘭:是啊, 它很容易記住。 191 00:11:41,703 --> 00:11:44,560 這是一個完全合理的, 理性的行為, 192 00:11:44,560 --> 00:11:46,920 即使風險 你把你自己 193 00:11:46,920 --> 00:11:50,540 在這些情況下,僅僅是 一個或多個這些網站的 194 00:11:50,540 --> 00:11:54,510 很容易受到黑客或 不安全或密碼只是 195 00:11:54,510 --> 00:11:57,130 這麼混賬的猜測, 任何人都可以計算出來。 196 00:11:57,130 --> 00:11:59,850 這不僅是一個賬戶 損害,但在理論上,任何 197 00:11:59,850 --> 00:12:01,280 佔你有在互聯網上。 198 00:12:01,280 --> 00:12:04,550 所以我知道今天我可以說,沒有 使用相同的密碼無處不在, 199 00:12:04,550 --> 00:12:06,450 但是這是一個很大談何容易。 200 00:12:06,450 --> 00:12:10,850 但也有技巧 減輕了特別的關注。 201 00:12:10,850 --> 00:12:14,030 >> 現在,我會發生,例如,以 使用一個名為的1Password程序。 202 00:12:14,030 --> 00:12:16,010 另一種流行的一種叫LastPass的。 203 00:12:16,010 --> 00:12:19,030 和一堆CS50人員使用的一個 或多個這些類型的工具。 204 00:12:19,030 --> 00:12:20,940 而且長話短說, 1外賣今天 205 00:12:20,940 --> 00:12:25,080 應該是的,是的,你可能有 相同的密碼無處不在, 206 00:12:25,080 --> 00:12:27,260 但它很容易不再這樣做。 207 00:12:27,260 --> 00:12:31,260 例如,這些天來,我知道 我的幾十個或上百個可能是一 208 00:12:31,260 --> 00:12:31,910 的密碼。 209 00:12:31,910 --> 00:12:33,990 我的所有其他的密碼 是偽隨機 210 00:12:33,990 --> 00:12:36,046 通過這些方案在這裡的一個產生的。 211 00:12:36,046 --> 00:12:38,420 並概括地說,甚至 雖然大多數這些計劃 212 00:12:38,420 --> 00:12:41,487 往往配備有一點成本, 你會安裝一個這樣的程序, 213 00:12:41,487 --> 00:12:43,820 然後你將存儲所有 您的用戶名和密碼 214 00:12:43,820 --> 00:12:46,960 在這裡面的程序 你自己的Mac或PC或諸如此類的東西, 215 00:12:46,960 --> 00:12:49,290 然後這將是 加密您的計算機上 216 00:12:49,290 --> 00:12:51,599 什麼是一個希望 特別是長密碼。 217 00:12:51,599 --> 00:12:54,140 所以,我有一大堆 密碼為個人網站, 218 00:12:54,140 --> 00:12:56,390 然後我有一個非常 長密碼,我 219 00:12:56,390 --> 00:12:59,059 用它來解鎖所有的 其他密碼。 220 00:12:59,059 --> 00:13:00,850 這有什麼好看約 這樣的軟件是 221 00:13:00,850 --> 00:13:04,016 即,當你訪問一個網站,是 要求你的用戶名和密碼, 222 00:13:04,016 --> 00:13:06,304 這些天,我不鍵入 我的用戶名和密碼, 223 00:13:06,304 --> 00:13:08,970 因為,再一次,我甚至不知道 大多數我的密碼。 224 00:13:08,970 --> 00:13:12,180 我不是打鍵盤 快捷方式時,結果是 225 00:13:12,180 --> 00:13:15,990 要觸發這個軟件 提示我為我的主密碼。 226 00:13:15,990 --> 00:13:18,780 那麼我鍵入一個大 密碼中,然後瀏覽器 227 00:13:18,780 --> 00:13:21,090 自動填充 什麼我的密碼。 228 00:13:21,090 --> 00:13:24,960 所以,真正的,如果你把沒有別的 離今天的密碼而言, 229 00:13:24,960 --> 00:13:28,440 這些軟件都值得 下載或投資等等 230 00:13:28,440 --> 00:13:30,750 那你至少可以休息 特定的習慣。 231 00:13:30,750 --> 00:13:33,374 如果你是類型的 用便利貼或like-- 232 00:13:33,374 --> 00:13:37,310 賠率是你至少有一個is-- 這種習慣也一樣,我只想說, 233 00:13:37,310 --> 00:13:38,340 應該是壞了。 234 00:13:38,340 --> 00:13:42,360 >> 現在,我偶然發現,其結果 使用該軟件,因此以下。 235 00:13:42,360 --> 00:13:45,690 我訂購的是食用安排, 這籃水果,最近。 236 00:13:45,690 --> 00:13:49,380 我打我的專用鍵盤 快捷登錄到該網站。 237 00:13:49,380 --> 00:13:53,325 並且該軟件引發了 彈出窗口說,你確定 238 00:13:53,325 --> 00:13:55,950 你要我自動 提交此用戶名和密碼? 239 00:13:55,950 --> 00:13:57,690 因為連接是不安全的。 240 00:13:57,690 --> 00:14:01,450 >> 連接不 使用HTTPS,為安全, 241 00:14:01,450 --> 00:14:04,900 使用該協議被稱為 SSL,安全套接字層。 242 00:14:04,900 --> 00:14:07,640 事實上,如果你看看 本網站的左側上方, 243 00:14:07,640 --> 00:14:12,880 它只是www.ediblearrangements.com, 沒有HTTPS時,這是不那麼好。 244 00:14:12,880 --> 00:14:15,480 >> 現在,我是curious--也許這 在軟件只是一個錯誤。 245 00:14:15,480 --> 00:14:19,240 當然,一些網站喜歡 這是很多人都知道的 246 00:14:19,240 --> 00:14:24,046 至少是使用加密 或HTTPS URL來登錄你進來。 247 00:14:24,046 --> 00:14:25,670 所以,我今天早上有點好奇。 248 00:14:25,670 --> 00:14:29,046 我拿出我的CS50的技能, 我打開了鍍鉻督察。 249 00:14:29,046 --> 00:14:30,295 它甚至不是太大的技巧。 250 00:14:30,295 --> 00:14:32,890 這只是擊中了正確的鍵盤 快捷方式打開這件事。 251 00:14:32,890 --> 00:14:34,830 這裡是一個很大的窗口 Chrome的督察。 252 00:14:34,830 --> 00:14:38,960 >> 但實際上是一個 有點悲壯和荒謬的 253 00:14:38,960 --> 00:14:40,830 在這裡這兩條線。 254 00:14:40,830 --> 00:14:44,570 在頂部,通知的URL 其中我的用戶名和密碼 255 00:14:44,570 --> 00:14:45,530 已提交。 256 00:14:45,530 --> 00:14:46,380 讓我進行放大。 257 00:14:46,380 --> 00:14:47,352 正是這種在這裡。 258 00:14:47,352 --> 00:14:49,060 而所有這一切是 那種索然無味, 259 00:14:49,060 --> 00:14:54,962 除了東西一路的 左側,這與HTTP開頭://。 260 00:14:54,962 --> 00:14:57,240 所以的話,好吧,也許 他們只是發送 261 00:14:57,240 --> 00:14:59,084 我的用戶名,這是 沒有什麼大不了的。 262 00:14:59,084 --> 00:15:00,500 也許我的密碼被送往。 263 00:15:00,500 --> 00:15:02,300 那會是怎樣的 有趣的設計決策。 264 00:15:02,300 --> 00:15:03,100 >> 但沒了。 265 00:15:03,100 --> 00:15:06,130 如果你再看看的請求 有效載荷,用戶名和密碼 266 00:15:06,130 --> 00:15:08,470 我sent--我嘲笑 這些向上的slide-- 267 00:15:08,470 --> 00:15:10,000 在明確了實際發送。 268 00:15:10,000 --> 00:15:13,792 所以,你去這個特殊的網站, 訂購食用的安排是這樣, 269 00:15:13,792 --> 00:15:16,750 而事實上,很顯然,這一切 那時我已經下令他們, 270 00:15:16,750 --> 00:15:19,800 您的用戶名和密碼 即將跨越的清晰。 271 00:15:19,800 --> 00:15:22,120 所以說實話,這是 完全不能接受的。 272 00:15:22,120 --> 00:15:26,240 而且它是如此微不足道,避免的事情 像這樣的網站設計師 273 00:15:26,240 --> 00:15:27,950 而作為網站的程序員。 274 00:15:27,950 --> 00:15:31,020 >> 但外賣這裡 我們作為網站的用戶 275 00:15:31,020 --> 00:15:35,700 只是欣賞所有 它需要的是一個愚蠢的設計 276 00:15:35,700 --> 00:15:40,010 決策,不合理的設計決策, 所以,現在,如果你知道我的密碼 277 00:15:40,010 --> 00:15:41,820 在這個“深紅” 網站上,你可能已經 278 00:15:41,820 --> 00:15:44,654 剛鑽進一大堆 其他網站,我現在有。 279 00:15:44,654 --> 00:15:46,570 而且也沒有太多的 針對該抗辯 280 00:15:46,570 --> 00:15:48,301 比張今天早上做了其他。 281 00:15:48,301 --> 00:15:51,550 他去食用安排, 位於倒在劍橋的街道上, 282 00:15:51,550 --> 00:15:53,430 和身體上買了這個給我們。 283 00:15:53,430 --> 00:15:57,490 這是不是更安全 用在這種情況下,網站。 284 00:15:57,490 --> 00:16:02,320 >> 但細節留意的 其實什麼是瀏覽器往上頂 285 00:16:02,320 --> 00:16:02,940 那裡。 286 00:16:02,940 --> 00:16:04,690 但即使這樣,也有點欺騙性。 287 00:16:04,690 --> 00:16:07,002 所以,另一個有趣 例如,維護方式 288 00:16:07,002 --> 00:16:09,960 對this--實際上,讓我們 這樣做first--衛冕之路 289 00:16:09,960 --> 00:16:12,540 針對這是一種技術 保安人會 290 00:16:12,540 --> 00:16:14,810 叫雙因素身份驗證。 291 00:16:14,810 --> 00:16:20,130 >> 有誰知道有什麼辦法解決 像這意味著問題? 292 00:16:20,130 --> 00:16:23,110 什麼是雙因素認證? 293 00:16:23,110 --> 00:16:27,320 或者換一種說法,怎麼 你們很多人都在使用它? 294 00:16:27,320 --> 00:16:28,650 好了,幾個害羞的人。 295 00:16:28,650 --> 00:16:29,060 但是,是的。 296 00:16:29,060 --> 00:16:29,976 我看到了你的手走了。 297 00:16:29,976 --> 00:16:31,510 什麼是雙因素認證? 298 00:16:31,510 --> 00:16:34,010 >> 聽眾:基本上,除了 要輸入你的密碼, 299 00:16:34,010 --> 00:16:37,390 你也有一個輔助[聽不清] 通過短信發送到您的手機 300 00:16:37,390 --> 00:16:39,460 在[聽不清]。 301 00:16:39,460 --> 00:16:40,460 DAVID J.馬蘭:沒錯。 302 00:16:40,460 --> 00:16:44,150 除了一些初級形式 認證的,就像一個密碼, 303 00:16:44,150 --> 00:16:47,190 你問的第二 因子,其通常 304 00:16:47,190 --> 00:16:49,740 你擁有的東西 身體上的你,雖然它 305 00:16:49,740 --> 00:16:51,610 可以是其它的什麼東西。 306 00:16:51,610 --> 00:16:54,630 而這一點通常是 手機這些天來,你得到 307 00:16:54,630 --> 00:16:59,200 發送一個臨時短信,上面寫著 “您的臨時密碼為12345。” 308 00:16:59,200 --> 00:17:01,280 >> 所以除了我 密碼“緋紅,”我也 309 00:17:01,280 --> 00:17:03,916 在任何輸入 網站已發短信給我。 310 00:17:03,916 --> 00:17:06,290 或者,如果你有這樣的一個 銀行或投資賬戶, 311 00:17:06,290 --> 00:17:08,123 你有時有這些 小軟件狗 312 00:17:08,123 --> 00:17:11,760 實際上有一個偽隨機 內置了數生成器, 313 00:17:11,760 --> 00:17:15,849 但該裝置和銀行兩 知道你的初始種子是什麼 314 00:17:15,849 --> 00:17:19,710 使他們知道,即使在 你的小鑰匙扣小碼 315 00:17:19,710 --> 00:17:22,380 遊行前進的每一分鐘 兩,改變價值觀, 316 00:17:22,380 --> 00:17:25,260 這樣做的價值變動 銀行的服務器上 317 00:17:25,260 --> 00:17:28,620 以便它們可類似地進行認證 你,不僅你的密碼, 318 00:17:28,620 --> 00:17:30,024 但該臨時代碼。 319 00:17:30,024 --> 00:17:31,690 現在,你可以真正做到這一點在谷歌。 320 00:17:31,690 --> 00:17:33,606 坦率地說,這是一個 良好的習慣進入, 321 00:17:33,606 --> 00:17:36,180 特別是如果你使用 Gmail的所有的時間上的瀏覽器。 322 00:17:36,180 --> 00:17:39,880 如果你去這個網址在這裡,這是 在線為今天,然後將載玻片 323 00:17:39,880 --> 00:17:43,579 點擊兩步​​驗證, 相同的實際的東西在那裡。 324 00:17:43,579 --> 00:17:45,870 你會被提示給 他們的手機號碼。 325 00:17:45,870 --> 00:17:49,660 然後,任何時候您登錄 Gmail時,你會不會只問了 326 00:17:49,660 --> 00:17:53,480 您的密碼,也可作 這被發送到您的手機小碼 327 00:17:53,480 --> 00:17:54,190 暫時的。 328 00:17:54,190 --> 00:17:57,894 而只要你啟用了Cookie, 所以只要你不明確 329 00:17:57,894 --> 00:18:00,060 註銷,你只有 要做到這一點在一段時間後, 330 00:18:00,060 --> 00:18:01,870 就像當你坐下 在一台新計算機。 331 00:18:01,870 --> 00:18:05,320 >> 這裡的上升空間,也就是,如果你 坐下來,在一些網吧的風格 332 00:18:05,320 --> 00:18:07,380 計算機或只是一個 朋友的電腦,甚至 333 00:18:07,380 --> 00:18:09,710 如果那個朋友 惡意或無意 334 00:18:09,710 --> 00:18:13,580 有一些鍵盤記錄器 安裝了他或她的計算機上, 335 00:18:13,580 --> 00:18:15,640 這樣,你的一切 類型被記錄下來, 336 00:18:15,640 --> 00:18:19,170 至少是第二個因素,即 臨時代碼,是短暫的。 337 00:18:19,170 --> 00:18:21,630 於是,他或她或任何人的 破壞計算機 338 00:18:21,630 --> 00:18:24,890 不能登錄到您隨後, 即使一切 339 00:18:24,890 --> 00:18:27,890 是脆弱的,甚至 完全加密。 340 00:18:27,890 --> 00:18:29,760 Facebook擁有這也 與該網址在這裡, 341 00:18:29,760 --> 00:18:32,070 在這裡您可以點擊登錄認證。 342 00:18:32,070 --> 00:18:35,500 所以在這裡也一樣,如果你​​不這樣做 希望朋友捅人, 343 00:18:35,500 --> 00:18:40,140 你不想被戳在Facebook 或發布你的狀態更新, 344 00:18:40,140 --> 00:18:42,479 雙因素身份驗證 這裡可能是一個很好的事情。 345 00:18:42,479 --> 00:18:44,520 再有就是這個 其它技術完全, 346 00:18:44,520 --> 00:18:46,853 只是審計,這甚至 好東西對於我們人類來說, 347 00:18:46,853 --> 00:18:49,950 如果兩個因素證明惱人,其中, 誠然,就可以了,或者它只是不 348 00:18:49,950 --> 00:18:53,930 可在一些網站上,最低限度 密切關注是否以及何時 349 00:18:53,930 --> 00:18:57,650 你登錄的網站,如果他們 讓你,是一個很好的技術,太。 350 00:18:57,650 --> 00:19:01,300 因此,Facebook的也給你這個 登錄通知功能,從而 351 00:19:01,300 --> 00:19:06,240 隨時隨地的Facebook意識到,HM,大衛有 登錄一些電腦或手機 352 00:19:06,240 --> 00:19:09,710 我們從來沒有見過的前 一個IP地址,看起來比較陌生, 353 00:19:09,710 --> 00:19:12,320 他們將至少給你一個 電子郵件的任何電子郵件地址 354 00:19:12,320 --> 00:19:14,750 你有文件,說: 這是否看起來可疑的? 355 00:19:14,750 --> 00:19:17,590 如果是這樣,請立即修改您的密碼。 356 00:19:17,590 --> 00:19:19,610 等在那裡,太, 只是審計行為 357 00:19:19,610 --> 00:19:21,940 即使你已經經過 破壞,可以至少 358 00:19:21,940 --> 00:19:25,980 在縮小窗口 你是脆弱的。 359 00:19:25,980 --> 00:19:29,910 >> 好吧,什麼問題 對這些東西至今? 360 00:19:29,910 --> 00:19:35,510 今天是讓所有的 你的偏執確認或否認。 361 00:19:35,510 --> 00:19:36,820 這主要是證實了,可悲的。 362 00:19:36,820 --> 00:19:37,210 是嗎? 363 00:19:37,210 --> 00:19:39,223 >> 聽眾:[聽不清]手機, 如果你的手機休息, 364 00:19:39,223 --> 00:19:41,010 然後它總是 很難verify-- 365 00:19:41,010 --> 00:19:41,295 >> DAVID J.馬蘭:真。 366 00:19:41,295 --> 00:19:43,330 >> 聽眾:或者,如果你在一個不同的 國家,他們不會讓你 367 00:19:43,330 --> 00:19:44,505 因為[聽不清]登錄。 368 00:19:44,505 --> 00:19:45,630 DAVID J.馬蘭:當然可以。 369 00:19:45,630 --> 00:19:48,780 所以這些是額外 你承擔的費用。 370 00:19:48,780 --> 00:19:51,040 總是有這個主題 一個權衡,畢竟。 371 00:19:51,040 --> 00:19:53,748 然後,如果你失去了你的電話, 如果它打破,如果你在國外, 372 00:19:53,748 --> 00:19:56,382 或者你只是沒有 信號,如3G或LTE信​​號, 373 00:19:56,382 --> 00:19:58,340 你可能不實際 能夠認證。 374 00:19:58,340 --> 00:20:00,520 >> 如此反复,這兩個是權衡。 375 00:20:00,520 --> 00:20:03,670 有時,它可以創建一個 很多結果為你工作。 376 00:20:03,670 --> 00:20:08,130 但它實際上取決於,然後在 什麼樣的預期價格給你 377 00:20:08,130 --> 00:20:10,980 什麼是幸福的 完全妥協。 378 00:20:10,980 --> 00:20:15,300 >> 所以SSL,那麼,這種技術是 大家普遍認為理所當然 379 00:20:15,300 --> 00:20:18,970 或者假設是存在的,儘管 這顯然不是這樣。 380 00:20:18,970 --> 00:20:23,339 你仍然可以誤導 人,不過,即使是與此有關。 381 00:20:23,339 --> 00:20:24,630 所以這裡有一個銀行的例子。 382 00:20:24,630 --> 00:20:25,860 >> 這是美國銀行。 383 00:20:25,860 --> 00:20:28,730 有一大堆的這些 在哈佛廣場和超越。 384 00:20:28,730 --> 00:20:32,530 並請注意,在極頂 在屏幕上,有一個,事實上,HTTPS。 385 00:20:32,530 --> 00:20:35,370 它甚至綠色 並強調我們 386 00:20:35,370 --> 00:20:39,550 以表明這的確是 一個合法的安全網站, 387 00:20:39,550 --> 00:20:41,420 還是讓我們被訓練相信。 388 00:20:41,420 --> 00:20:46,416 >> 現在,除此之外,雖然 注意到,如果我們放大, 389 00:20:46,416 --> 00:20:48,790 有這個東西在這裡,在這裡 系統會提示您登錄。 390 00:20:48,790 --> 00:20:54,920 這是什麼意思掛鎖權 在那裡,旁邊,我的用戶名提示? 391 00:20:54,920 --> 00:20:57,890 這是在網站上很常見了。 392 00:20:57,890 --> 00:21:01,120 這是什麼鎖是什麼意思? 393 00:21:01,120 --> 00:21:02,453 你看起來像你知道的。 394 00:21:02,453 --> 00:21:03,420 >> 聽眾:它並不意味著什麼。 395 00:21:03,420 --> 00:21:04,230 >> DAVID J.馬蘭:這 並不意味著什麼。 396 00:21:04,230 --> 00:21:07,790 這意味著,美國銀行知道如何 寫的HTML圖像標籤,對不對? 397 00:21:07,790 --> 00:21:12,080 這確實沒什麼意思,因為即使 我們,使用我們看的第一天 398 00:21:12,080 --> 00:21:15,760 在HTML中,可以編寫了一個頁面 紅色背景和圖像, 399 00:21:15,760 --> 00:21:18,910 如GIF或諸如此類的東西,這 恰巧看起來像一個掛鎖。 400 00:21:18,910 --> 00:21:20,890 然而,這是超 在網站上常見的, 401 00:21:20,890 --> 00:21:24,000 因為我們已經被訓練的假設 是,呵呵,掛鎖意味著安全, 402 00:21:24,000 --> 00:21:25,760 當它真的只是意味著你了解HTML。 403 00:21:25,760 --> 00:21:28,840 >> 例如,早在一天,我可以 剛剛把這個放在我的網站, 404 00:21:28,840 --> 00:21:31,660 聲稱它是安全的, 並要求,有效地, 405 00:21:31,660 --> 00:21:33,590 為人們的用戶名和密碼。 406 00:21:33,590 --> 00:21:36,310 所以,看在網址為 至少有一個更好的線索, 407 00:21:36,310 --> 00:21:39,580 因為這是內置到Chrome瀏覽器 或其他瀏覽器,您正在使用。 408 00:21:39,580 --> 00:21:41,470 但即便如此,有時 事情都可能出錯。 409 00:21:41,470 --> 00:21:45,940 而事實上,你可能不總是 看HTTPS,更不用說為綠色。 410 00:21:45,940 --> 00:21:48,126 >> 有什麼你永遠 看到這樣的畫面? 411 00:21:48,126 --> 00:21:50,000 你可能有,實際上, 此前在十月 412 00:21:50,000 --> 00:21:54,740 當我忘了支付我們 SSL證書,因為它叫, 413 00:21:54,740 --> 00:21:58,400 我們正在尋找像 此為一兩個小時。 414 00:21:58,400 --> 00:22:01,830 所以,你可能已經看到的東西 像這樣,用刪除線, 415 00:22:01,830 --> 00:22:05,240 像紅色線,通過 在URL中的協議 416 00:22:05,240 --> 00:22:08,010 或某種畫面的那 至少你誡勉 417 00:22:08,010 --> 00:22:09,760 對於試圖進一步進行。 418 00:22:09,760 --> 00:22:12,540 而谷歌在此邀請 你回去的安全。 419 00:22:12,540 --> 00:22:17,120 >> 現在,在這種情況下,這僅僅意味著 我們採用了SSL證書, 420 00:22:17,120 --> 00:22:22,220 大,數學有用的電話號碼 了與CS50的服務器相關聯, 421 00:22:22,220 --> 00:22:23,949 不再有效。 422 00:22:23,949 --> 00:22:26,490 而事實上,我們可以模擬 這一點,因為你可以在你的筆記本電腦。 423 00:22:26,490 --> 00:22:30,270 如果我進入Chrome瀏覽器在這裡, 讓我們去facebook.com, 424 00:22:30,270 --> 00:22:32,230 它看起來像這樣是安全的。 425 00:22:32,230 --> 00:22:36,910 但現在讓我繼續前進, 這裡的掛鎖點擊。 426 00:22:36,910 --> 00:22:40,030 >> 並讓我去連接, 證書信息。 427 00:22:40,030 --> 00:22:42,020 而事實上,你會 在這裡看到的是一堆 428 00:22:42,020 --> 00:22:46,160 關於低級別的細節 誰facebook.com確實是。 429 00:22:46,160 --> 00:22:49,380 看來,他們已經支付的錢 一家名為也許DigiCert高 430 00:22:49,380 --> 00:22:54,420 保證已經承諾 告訴世界其他地區 431 00:22:54,420 --> 00:22:57,250 即,如果一個瀏覽器有史以來看到 一個certificate--你能想到的 432 00:22:57,250 --> 00:23:00,291 它字面上的證書 看起來在頂部的俗氣的事 433 00:23:00,291 --> 00:23:04,360 left--那麼facebook.com是誰他們說 是這樣,因為這麼長的時間,當 434 00:23:04,360 --> 00:23:07,160 你訪問一個網站,像 cs50.harvard.edu或facebook.com 435 00:23:07,160 --> 00:23:11,880 或gmail.com使用HTTPS 網址,幕後, 436 00:23:11,880 --> 00:23:15,190 有這種交易 自動發生 437 00:23:15,190 --> 00:23:18,060 對你來說,即 facebook.com,在這種情況下, 438 00:23:18,060 --> 00:23:22,150 發送到瀏覽器的 所謂的SSL證書,或者更確切地說, 439 00:23:22,150 --> 00:23:23,380 它的公鑰, 440 00:23:23,380 --> 00:23:25,600 然後你的瀏覽器 使用公鑰 441 00:23:25,600 --> 00:23:29,600 隨後發送加密 業務到和從它。 442 00:23:29,600 --> 00:23:32,360 >> 但有這個整體的層次結構 在公司的世界 443 00:23:32,360 --> 00:23:36,430 你付錢給誰都會 然後證明,在數字意義上說, 444 00:23:36,430 --> 00:23:41,330 你確實是facebook.com或 您的服務器確實是cs50.harvard.edu。 445 00:23:41,330 --> 00:23:44,580 並內置了瀏覽器,如 Chrome和IE瀏覽器和Firefox, 446 00:23:44,580 --> 00:23:48,260 是所有這些的列表 所謂的證書頒發機構 447 00:23:48,260 --> 00:23:51,360 被授權 微軟與谷歌和Mozilla 448 00:23:51,360 --> 00:23:55,410 確認或否認 facebook.com是誰也說是真的。 449 00:23:55,410 --> 00:23:57,430 但美中不足的是, 這些東西都過期。 450 00:23:57,430 --> 00:24:02,670 事實上,Facebook的樣子 到期明年十月,2015年。 451 00:24:02,670 --> 00:24:06,490 >> 所以,我們實際上可以模仿,如果我這個 走在我的Mac到我的系統偏好設置, 452 00:24:06,490 --> 00:24:11,070 我進入的日期和時間, 我進入日期和時間在這裡, 453 00:24:11,070 --> 00:24:17,190 我解開這個這裡 - 幸運的是, 我們並沒有透露密碼,這個時間 - 454 00:24:17,190 --> 00:24:20,660 現在我去取消選中此。 455 00:24:20,660 --> 00:24:25,660 讓我們actually--哎呀,這是 不一樣有趣的事情了。 456 00:24:25,660 --> 00:24:30,140 我們是字面上的未來,現在, 這意味著這是2020年是怎樣的。 457 00:24:30,140 --> 00:24:36,360 如果我現在重新加載page-- 讓我們做它Ingognito mode-- 458 00:24:36,360 --> 00:24:40,910 如果我刷新頁面,我們走吧。 459 00:24:40,910 --> 00:24:45,820 >> 所以,現在,我認為電腦 這是2020年的,但我的瀏覽器 460 00:24:45,820 --> 00:24:49,810 知道這個證書 Facebook的到期,當然,在2015年。 461 00:24:49,810 --> 00:24:51,360 因此,它給我這個紅的消息。 462 00:24:51,360 --> 00:24:53,550 現在,幸運的是,瀏覽器 像Chrome瀏覽器反倒 463 00:24:53,550 --> 00:24:55,480 使得它相當困難的 儘管如此進行。 464 00:24:55,480 --> 00:24:57,300 他們確實想要我 回到安全。 465 00:24:57,300 --> 00:25:00,550 >> 如果我點擊這裡前進,它的 要告訴我一些更多的細節。 466 00:25:00,550 --> 00:25:02,580 如果我真的想 繼續,他們會告訴 467 00:25:02,580 --> 00:25:06,250 我去facebook.com,這一點, 再次,不安全的,在該點 468 00:25:06,250 --> 00:25:08,310 我去看看Facebook的網頁,類似這樣的。 469 00:25:08,310 --> 00:25:10,080 但是其他的東西 似乎是斷裂。 470 00:25:10,080 --> 00:25:12,825 什麼是可能打破這一點? 471 00:25:12,825 --> 00:25:13,700 聽眾:JavaScript的。 472 00:25:13,700 --> 00:25:15,540 DAVID J.馬蘭:像 Java腳本和/或CSS 473 00:25:15,540 --> 00:25:17,460 文件也同樣 遇到這個錯誤。 474 00:25:17,460 --> 00:25:19,830 所以這只是一個糟糕的大局。 475 00:25:19,830 --> 00:25:24,790 但這裡的問題是,至少有 Facebook的確實啟用了SSL 476 00:25:24,790 --> 00:25:30,040 為他們的服務器,因為許多網站, 這樣做,但不必是所有。 477 00:25:30,040 --> 00:25:33,360 >> 但是,這不是一個人在這裡的外賣。 478 00:25:33,360 --> 00:25:36,040 事實證明,即使是SSL 已證實 479 00:25:36,040 --> 00:25:37,810 是不安全的某種方式。 480 00:25:37,810 --> 00:25:40,400 之類的,所以我暗示,SSL,不錯。 481 00:25:40,400 --> 00:25:44,250 尋找HTTPS URL和生活 好,因為你所有的HTTP流量 482 00:25:44,250 --> 00:25:46,180 和標頭和內容被加密。 483 00:25:46,180 --> 00:25:49,560 >> 沒有人能在攔截 中間,除了所謂的人 484 00:25:49,560 --> 00:25:50,454 在中間。 485 00:25:50,454 --> 00:25:52,870 這是一種通用的技術 在安全名揚四海 486 00:25:52,870 --> 00:25:54,420 作為一個中間人攻擊。 487 00:25:54,420 --> 00:25:57,067 假設你是這個小 筆記本電腦在這裡在左邊, 488 00:25:57,067 --> 00:25:59,900 並假設你想參觀 在右邊的服務器那邊, 489 00:25:59,900 --> 00:26:00,990 就像facebook.com。 490 00:26:00,990 --> 00:26:03,940 >> 但是假設在 你和Facebook之間, 491 00:26:03,940 --> 00:26:07,750 是一大堆其他服務器和 設備,如交換機和路由器, 492 00:26:07,750 --> 00:26:11,530 DNS服務器,DHCP服務器,這 其中沒有我們控制。 493 00:26:11,530 --> 00:26:15,280 它可能是由星巴克來控制 或者哈佛或康卡斯特等。 494 00:26:15,280 --> 00:26:18,090 好吧,假設某人 惡意,在網絡上, 495 00:26:18,090 --> 00:26:20,800 在你和Facebook之間, 能告訴你 496 00:26:20,800 --> 00:26:24,740 ,你知道是什麼,IP地址 Facebook是不是你認為它是。 497 00:26:24,740 --> 00:26:26,250 這是該IP代替。 498 00:26:26,250 --> 00:26:28,740 >> 所以您的瀏覽器 被騙請求 499 00:26:28,740 --> 00:26:30,750 從另一個交通 電腦完全。 500 00:26:30,750 --> 00:26:35,350 好吧,假設電腦 簡單地看所有 501 00:26:35,350 --> 00:26:38,859 交通的你從請求 Facebook和所有的網頁 502 00:26:38,859 --> 00:26:40,400 你是從Facebook的要求。 503 00:26:40,400 --> 00:26:45,700 和任何時間看到了你的流量 與HTTPS開頭的網址, 504 00:26:45,700 --> 00:26:49,250 它動態地,在 飛,將其重寫為HTTP。 505 00:26:49,250 --> 00:26:53,490 而且任何時候它看到的位置 頭,結腸的位置, 506 00:26:53,490 --> 00:26:55,930 就像我們使用重定向 該用戶的那些,也 507 00:26:55,930 --> 00:27:00,690 可這個男人的改變 從HTTPS中間HTTP。 508 00:27:00,690 --> 00:27:04,170 >> 因此,即使你本人會 認為你是在真正的Facebook, 509 00:27:04,170 --> 00:27:07,860 它不是很難的 對手有物理訪問 510 00:27:07,860 --> 00:27:10,630 您的網絡簡單地 返回頁面你, 511 00:27:10,630 --> 00:27:12,650 看起來像Gmail一樣,那 看起來像Facebook, 512 00:27:12,650 --> 00:27:14,880 而事實上網址是 同樣的,因為他們是 513 00:27:14,880 --> 00:27:19,410 假裝有相同的主機名 因為DNS的一些開採 514 00:27:19,410 --> 00:27:21,340 或一些其它系統那樣。 515 00:27:21,340 --> 00:27:23,894 和的結果,那麼,是 我們人類唯一可能 516 00:27:23,894 --> 00:27:26,810 意識到這一點,OK,這看起來像 Gmail或至少是舊版本, 517 00:27:26,810 --> 00:27:29,480 正如這張幻燈片從 舊的演示文稿。 518 00:27:29,480 --> 00:27:34,250 但它看起來像this-- http://www.google.com。 519 00:27:34,250 --> 00:27:37,370 >> 所以在這裡也一樣,現實 是,你們有多少人, 520 00:27:37,370 --> 00:27:41,290 當你去到Facebook或Gmail或任何 網站,你知道一點 521 00:27:41,290 --> 00:27:47,060 關於SSL,你們有多少人身體 輸入https://,然後網站 522 00:27:47,060 --> 00:27:48,990 名稱,輸入。 523 00:27:48,990 --> 00:27:52,940 我們中的大多數只需要輸入一樣,CS50, 按Enter鍵或F-A為Facebook 524 00:27:52,940 --> 00:27:54,770 並按下回車鍵,讓它自動完成。 525 00:27:54,770 --> 00:27:57,620 但在幕後,如果 你看你的HTTP流量, 526 00:27:57,620 --> 00:28:00,090 有可能是一大堆 這些位置的頭 527 00:28:00,090 --> 00:28:03,580 正在向您發送 Facebook上www.facebook.com 528 00:28:03,580 --> 00:28:07,250 到https://www.facebook.com。 529 00:28:07,250 --> 00:28:12,300 >> 所以這是一個或多個HTTP事務 在您的信息是完全 530 00:28:12,300 --> 00:28:15,102 以明文方式傳輸,不 加密任何責任。 531 00:28:15,102 --> 00:28:17,810 現在,這可能不是這麼大的 如果處理所有你想要做的 532 00:28:17,810 --> 00:28:20,980 正在訪問的網頁,你不 發送您的用戶名和密碼。 533 00:28:20,980 --> 00:28:23,130 但是,什麼是它的下面 引擎蓋,尤其是 534 00:28:23,130 --> 00:28:28,130 對於基於PHP的網站也 被來回發送時 535 00:28:28,130 --> 00:28:33,820 您訪問某些網頁,如果 該網站的用途,比如說,PHP 536 00:28:33,820 --> 00:28:37,370 並實現像pset7功能? 537 00:28:37,370 --> 00:28:40,840 什麼被送到了來回 在您的HTTP標頭給你 538 00:28:40,840 --> 00:28:44,903 訪問這個美麗 有用的超全球在PHP? 539 00:28:44,903 --> 00:28:45,710 >> 聽眾:餅乾。 540 00:28:45,710 --> 00:28:49,020 >> DAVID J.馬蘭:餅乾, 特別是PHP SESS ID的Cookie。 541 00:28:49,020 --> 00:28:53,100 所以記得,如果我們去, 比方說,cs50.harvard.edu再次, 542 00:28:53,100 --> 00:28:56,440 但是這一次,讓我們打開了 網絡選項卡,而現在,在這裡, 543 00:28:56,440 --> 00:29:01,570 讓我們從字面上只是去 到http://cs50.harvard.edu 544 00:29:01,570 --> 00:29:03,030 然後按Enter鍵。 545 00:29:03,030 --> 00:29:05,520 再看看屏幕到這裡。 546 00:29:05,520 --> 00:29:09,600 請注意,我們確實得到了 回301永久移動 547 00:29:09,600 --> 00:29:12,820 消息,這意味著 有一個位置頭在這裡, 548 00:29:12,820 --> 00:29:15,610 這是目前我重定向到HTTPS。 549 00:29:15,610 --> 00:29:21,330 >> 但美中不足的是,如果我已經有了 用腳踩我的手幾乎一個cookie, 550 00:29:21,330 --> 00:29:25,890 正如我們以前討論過,並 我對人類的那種在不知不覺中 551 00:29:25,890 --> 00:29:29,090 只需訪問不安全 版本和我的瀏覽器需要它 552 00:29:29,090 --> 00:29:34,020 在自身顯示為郵戳 第一請求,這是通過HTTP, 553 00:29:34,020 --> 00:29:36,610 在中間的任何人,任何 對手在中間, 554 00:29:36,610 --> 00:29:39,380 理論上可以只看到 這些HTTP頭,就 555 00:29:39,380 --> 00:29:40,980 就像我們在看他們在這裡。 556 00:29:40,980 --> 00:29:43,310 這是唯一的一次,你 說話的HTTPS 557 00:29:43,310 --> 00:29:47,780 網址這是否郵戳本身得到 加密的,一拉或撒的V @ genere, 558 00:29:47,780 --> 00:29:50,500 但與票友算法完全。 559 00:29:50,500 --> 00:29:53,611 所以在這裡也一樣,即使 網站使用HTTPS, 560 00:29:53,611 --> 00:29:56,860 我們人類已經習慣於,謝謝 自動完成等技術, 561 00:29:56,860 --> 00:29:59,827 到別想 的潛在影響。 562 00:29:59,827 --> 00:30:01,160 現在,有辦法解決這個。 563 00:30:01,160 --> 00:30:03,140 例如,許多 網站可以被配置 564 00:30:03,140 --> 00:30:05,848 這樣一來,一旦你有這一手 郵票,你可以告訴瀏覽器, 565 00:30:05,848 --> 00:30:07,750 這個郵戳是唯一的 SSL連接。 566 00:30:07,750 --> 00:30:11,702 瀏覽器不應該存在 它給我,除非它是通過SSL。 567 00:30:11,702 --> 00:30:13,410 但很多網站 不打擾這一點。 568 00:30:13,410 --> 00:30:17,260 和很多網站明顯 甚至不使用SSL打擾的。 569 00:30:17,260 --> 00:30:20,540 >> 因此,對於更多的,有實際 在此演示文稿甚至更多的污垢 570 00:30:20,540 --> 00:30:24,010 一個老鄉給的所謂的黑 帽大會在幾年前, 571 00:30:24,010 --> 00:30:26,468 其中,甚至還有其他 惡意招數人都用過。 572 00:30:26,468 --> 00:30:28,630 您可能還記得這個 一個圖標,對其中的概念 573 00:30:28,630 --> 00:30:32,270 就像一個小的標誌,是 通常在瀏覽器的窗口中。 574 00:30:32,270 --> 00:30:34,610 那麼,什麼是 壞人之間的共同點是 575 00:30:34,610 --> 00:30:36,340 使看起來像什麼晶圓廠的圖標? 576 00:30:36,340 --> 00:30:39,054 577 00:30:39,054 --> 00:30:39,970 聽眾:[聽不清]。 578 00:30:39,970 --> 00:30:40,280 DAVID J.馬蘭:再說一遍嗎? 579 00:30:40,280 --> 00:30:41,490 聽眾:該網站。 580 00:30:41,490 --> 00:30:42,130 DAVID J.馬蘭:不是一個網站。 581 00:30:42,130 --> 00:30:43,394 所以,網站圖標,小小的圖標。 582 00:30:43,394 --> 00:30:45,560 什麼是最 惡意操縱的事情 583 00:30:45,560 --> 00:30:47,832 你可以讓你的網站的 默認的圖標是什麼樣子? 584 00:30:47,832 --> 00:30:48,790 聽眾:綠色鎖。 585 00:30:48,790 --> 00:30:49,080 DAVID J.馬蘭:那是什麼? 586 00:30:49,080 --> 00:30:50,160 聽眾:一隻綠色的小鎖。 587 00:30:50,160 --> 00:30:51,960 DAVID J.馬蘭:像 一個綠色的鎖,正好。 588 00:30:51,960 --> 00:30:55,242 所以,你可以有這樣的審美 一隻綠色的小掛鎖, 589 00:30:55,242 --> 00:30:57,950 暗示走向世界,哦,我們是 固定的時候,再次,所有這意味著 590 00:30:57,950 --> 00:31:00,210 是,你知道一些HTML。 591 00:31:00,210 --> 00:31:02,895 所以,會話劫持 指的正是這一點。 592 00:31:02,895 --> 00:31:05,936 如果你有別人誰的種 在這裡嗅探電波在這個房間 593 00:31:05,936 --> 00:31:09,150 或具有物理訪問 網絡,可以看到你的cookies, 594 00:31:09,150 --> 00:31:12,152 他或她可以搶了 PHP SESS ID的Cookie。 595 00:31:12,152 --> 00:31:13,860 然後,如果它們 足夠精明,知道 596 00:31:13,860 --> 00:31:18,200 如何在發送的cookie作為自己 只是通過複製該值郵戳 597 00:31:18,200 --> 00:31:20,860 和發送的HTTP標頭, 一個人可以很容易地 598 00:31:20,860 --> 00:31:23,510 登錄到任何的Facebook 帳戶或Gmail帳戶 599 00:31:23,510 --> 00:31:27,355 或Twitter帳戶在這裡,開 在房間裡,如果你不使用SSL 600 00:31:27,355 --> 00:31:31,500 如果網站是 不使用SSL正確。 601 00:31:31,500 --> 00:31:33,690 >> 因此,讓我們過渡到另一個。 602 00:31:33,690 --> 00:31:34,700 所以另一個真實的故事。 603 00:31:34,700 --> 00:31:38,680 而這恰恰打破了 一兩個星期前的新聞。 604 00:31:38,680 --> 00:31:41,520 Verizon公司一直在做 一個很邪惡的事情, 605 00:31:41,520 --> 00:31:45,110 而作為最優秀的人所知道的, 至少自2012年,由此, 606 00:31:45,110 --> 00:31:51,550 當你通過Verizon的網站訪問 蜂窩電話,無論生產它是 607 00:31:51,550 --> 00:31:54,150 他們一直振振有詞, 隨著故事的推移, 608 00:31:54,150 --> 00:31:59,890 注入到所有的HTTP 交通自身的HTTP標頭。 609 00:31:59,890 --> 00:32:04,040 而這頭看起來 像this-- X-UIDH。 610 00:32:04,040 --> 00:32:06,465 UID就像是一個獨特的 標識符或用戶ID。 611 00:32:06,465 --> 00:32:09,660 和X只是意味著這是一個自定義 頭,這不是標準的。 612 00:32:09,660 --> 00:32:11,720 >> 但是,這是什麼意思 是的,如果我拉起來, 613 00:32:11,720 --> 00:32:14,640 例如,任何網站 我的手機上這裡 - 614 00:32:14,640 --> 00:32:18,310 而我使用Verizon公司作為我carrier-- 即使我的瀏覽器可能無法 615 00:32:18,310 --> 00:32:21,110 要發送此HTTP 頭,Verizon公司,盡快 616 00:32:21,110 --> 00:32:23,650 在信號到達其 手機塔的地方, 617 00:32:23,650 --> 00:32:28,187 已經有一段時間這個注射 頭為我們所有的HTTP流量。 618 00:32:28,187 --> 00:32:29,020 他們為什麼要這麼做呢? 619 00:32:29,020 --> 00:32:31,920 想必跟踪的原因, 廣告的原因。 620 00:32:31,920 --> 00:32:36,280 >> 但魯鈍的設計決策 這裡是一個HTTP頭, 621 00:32:36,280 --> 00:32:41,090 因為你們知道,從pset6, 接收到任何網絡服務器 622 00:32:41,090 --> 00:32:42,540 您所請求的流量。 623 00:32:42,540 --> 00:32:44,248 所以,這一切的時候,如果 你已經訪問過 624 00:32:44,248 --> 00:32:48,019 Facebook或Gmail或任何網站 不使用SSL的所有時間 - 625 00:32:48,019 --> 00:32:49,810 而實際上,這些 2幸運的是,現在do-- 626 00:32:49,810 --> 00:32:52,670 但其他網站 不使用SSL的時候, 627 00:32:52,670 --> 00:32:54,930 Verizon已經基本 被種植,強行, 628 00:32:54,930 --> 00:32:58,180 所有的郵戳我們 手,即使我們看不到, 629 00:32:58,180 --> 00:33:00,330 而是,端網站做。 630 00:33:00,330 --> 00:33:02,890 因此它沒有被該 任何人都很難在互聯網上 631 00:33:02,890 --> 00:33:05,245 運行一個Web服務器 意識到,哦,這是大衛, 632 00:33:05,245 --> 00:33:09,340 或者,哦,這是達文,即使我們 關於嚴格清理我們的cookie, 633 00:33:09,340 --> 00:33:10,772 因為它不是來自我們走來。 634 00:33:10,772 --> 00:33:11,980 它是由運營商來了。 635 00:33:11,980 --> 00:33:14,896 >> 他們查找您的電話號碼 然後說,哦,這是大衛。 636 00:33:14,896 --> 00:33:18,890 讓我注入了獨特的標識符,以便 我們的廣告商或誰可以 637 00:33:18,890 --> 00:33:19,850 追踪此。 638 00:33:19,850 --> 00:33:23,769 所以,這其實是非常, 非常,非常糟糕,令人咋舌。 639 00:33:23,769 --> 00:33:26,060 我會鼓勵你 一起來看看,例如, 640 00:33:26,060 --> 00:33:29,950 在此URL,這是我應該放棄 其實,我嘗試這樣做今天早上。 641 00:33:29,950 --> 00:33:31,970 我寫了一個小腳本, 把它在這個網址, 642 00:33:31,970 --> 00:33:34,770 參觀它與我自己的Verizon 轉彎的Wi-Fi關閉後手機。 643 00:33:34,770 --> 00:33:38,010 所以,你必須關閉Wi-Fi關閉,使 你使用3G或LTE等。 644 00:33:38,010 --> 00:33:40,010 然後,如果你訪問 此URL,這一切的腳本 645 00:33:40,010 --> 00:33:41,770 不為你們,如果 你想打, 646 00:33:41,770 --> 00:33:45,380 是它吐出來的HTTP報頭 您的手機發送到我們的服務器。 647 00:33:45,380 --> 00:33:48,510 實際上我在公平,做 沒有看到這個今天上午,這 648 00:33:48,510 --> 00:33:51,430 讓我覺得要么在本地 手機塔我連接到 649 00:33:51,430 --> 00:33:55,160 或者諸如此類的東西沒有做,或者他們已經 支持暫時關閉這樣做的。 650 00:33:55,160 --> 00:33:58,160 但對於更多信息, 要前往該網址在這裡。 651 00:33:58,160 --> 00:34:00,680 >> 現在到了this--這 漫畫可能是有意義的。 652 00:34:00,680 --> 00:34:03,530 653 00:34:03,530 --> 00:34:04,030 不是嗎? 654 00:34:04,030 --> 00:34:04,530 行。 655 00:34:04,530 --> 00:34:05,390 行。 656 00:34:05,390 --> 00:34:06,310 那死了。 657 00:34:06,310 --> 00:34:07,240 行。 658 00:34:07,240 --> 00:34:11,330 >> 因此,讓我們來看看幾個比較 攻擊,如果只是為了提高知名度 659 00:34:11,330 --> 00:34:13,179 再提供一對夫婦 可能的解決方案 660 00:34:13,179 --> 00:34:14,430 讓你更加留心。 661 00:34:14,430 --> 00:34:17,305 這一次我們談到了其他的 天,但沒有給它提供一個名稱。 662 00:34:17,305 --> 00:34:22,360 這是一個跨站點請求偽造,這 是說過分花哨的方式 663 00:34:22,360 --> 00:34:26,489 你欺騙用戶點擊 像這樣的URL,這其中的技巧 664 00:34:26,489 --> 00:34:28,280 成一些行為 他們並沒有打算。 665 00:34:28,280 --> 00:34:30,710 >> 在這種情況下,這似乎 是為了要欺騙我 666 00:34:30,710 --> 00:34:32,920 為賣我的股份的谷歌。 667 00:34:32,920 --> 00:34:36,810 這將成功的話 我pset7的程序員, 668 00:34:36,810 --> 00:34:40,409 有沒有做過什麼? 669 00:34:40,409 --> 00:34:44,739 或者更確切地說,更一般地,在什麼 案例我是容易受到攻擊 670 00:34:44,739 --> 00:34:49,460 如果有人招數其他用戶 點擊進入這樣的網址是什麼? 671 00:34:49,460 --> 00:34:49,960 是嗎? 672 00:34:49,960 --> 00:34:52,500 >> 聽眾:你不辨 與GET和POST。 673 00:34:52,500 --> 00:34:52,760 >> DAVID J.馬蘭:好。 674 00:34:52,760 --> 00:34:54,850 如果我們不區分 GET和POST之間, 675 00:34:54,850 --> 00:34:57,950 而事實上,如果我們允許 GET賣東西, 676 00:34:57,950 --> 00:35:00,284 我們邀請這類攻擊。 677 00:35:00,284 --> 00:35:01,950 但是,我們仍然可以有所緩解了。 678 00:35:01,950 --> 00:35:04,283 我說:我認為, 上週,亞馬遜至少 679 00:35:04,283 --> 00:35:08,180 試圖用技術減輕這種 這是非常簡單的。 680 00:35:08,180 --> 00:35:11,860 會是什麼明智之舉 這樣做是你的服務器上, 681 00:35:11,860 --> 00:35:14,652 而不是只一味地賣 任何符號,用戶類型? 682 00:35:14,652 --> 00:35:15,984 聽眾:各種各樣的確認? 683 00:35:15,984 --> 00:35:19,320 DAVID J.馬蘭:確認畫面, 一些涉及人​​機交互 684 00:35:19,320 --> 00:35:21,300 讓我不得不 做出主觀判斷, 685 00:35:21,300 --> 00:35:23,930 即使我天真地點擊 看起來像這樣一個鏈接 686 00:35:23,930 --> 00:35:27,760 帶我到細胞屏幕,在 至少讓我證實或否認。 687 00:35:27,760 --> 00:35:32,460 但並不是一種罕見的攻擊,尤其是 在所謂的網絡釣魚或垃圾郵件一樣 688 00:35:32,460 --> 00:35:33,280 攻擊。 689 00:35:33,280 --> 00:35:34,890 >> 現在,這一個是多了幾分含蓄。 690 00:35:34,890 --> 00:35:37,060 這是一個跨站點腳本攻擊。 691 00:35:37,060 --> 00:35:39,250 而出現這種情況,如果你的 網站不使用 692 00:35:39,250 --> 00:35:41,260 用htmlspecialchars的等價物。 693 00:35:41,260 --> 00:35:45,160 並且它以用戶輸入的,只是 盲目地將其注入到一個網頁, 694 00:35:45,160 --> 00:35:48,170 與打印或迴聲,with-- again--調用出來的東西 695 00:35:48,170 --> 00:35:49,710 喜歡用htmlspecialchars。 696 00:35:49,710 --> 00:35:52,602 >> 因此,假設在網站上 問題是vulnerable.com。 697 00:35:52,602 --> 00:35:55,620 並假設它接受 一個叫Q參數。 698 00:35:55,620 --> 00:35:59,040 看看會發生什麼 如果我真的,壞傢伙, 699 00:35:59,040 --> 00:36:02,360 鍵入或欺騙用戶 參觀看起來像this--網址 700 00:36:02,360 --> 00:36:05,900 Q =開放的腳本標籤,關閉腳本標記。 701 00:36:05,900 --> 00:36:08,480 又一次,我假設 這vulnerable.com不 702 00:36:08,480 --> 00:36:11,740 要開啟危險 像開括號字符 703 00:36:11,740 --> 00:36:15,570 成HTML實體中, 符號,L-T,分號的事 704 00:36:15,570 --> 00:36:17,090 你可能已經看到過。 705 00:36:17,090 --> 00:36:18,900 >> 但是,什麼是腳本 或JavaScript代碼 706 00:36:18,900 --> 00:36:21,160 我試圖欺騙 用戶進入執行? 707 00:36:21,160 --> 00:36:25,420 好吧,指的document.location 我的瀏覽器的當前地址。 708 00:36:25,420 --> 00:36:29,400 所以,如果我做的document.location =, 這讓我重定向用戶 709 00:36:29,400 --> 00:36:30,830 在JavaScript中到另一個網站。 710 00:36:30,830 --> 00:36:34,290 這就像我們的PHP函數 重定向,但是在JavaScript中完成的。 711 00:36:34,290 --> 00:36:35,900 >> 我在哪裡要發送的用戶? 712 00:36:35,900 --> 00:36:40,110 那麼,顯然,badguy.com/log.php, 這是一些腳本,顯然, 713 00:36:40,110 --> 00:36:43,530 壞人寫的,這需要 一個名為cookie的參數。 714 00:36:43,530 --> 00:36:46,790 >> 和通知,我該怎麼 似乎是串聯 715 00:36:46,790 --> 00:36:49,190 上了等號結束了嗎? 716 00:36:49,190 --> 00:36:52,030 嗯,這東西 說的document.cookie。 717 00:36:52,030 --> 00:36:53,320 我們還沒有談到這一點。 718 00:36:53,320 --> 00:36:55,730 但事實證明,在 JavaScript中,就像在PHP中, 719 00:36:55,730 --> 00:36:59,770 您可以訪問所有的cookies 您的瀏覽器實際使用。 720 00:36:59,770 --> 00:37:02,180 >> 所以這一塊的效果 行的代碼,如果用戶 721 00:37:02,180 --> 00:37:06,440 被誘騙點擊此鏈接 與網站vulnerable.com不 722 00:37:06,440 --> 00:37:10,000 與用htmlspecialchars轉義, 就是你剛才有效 723 00:37:10,000 --> 00:37:13,660 上傳到log.php所有的餅乾。 724 00:37:13,660 --> 00:37:17,300 而這並不總是那麼有問題的, 除非其中的一個餅乾 725 00:37:17,300 --> 00:37:20,040 是你的會話ID,您 所謂的郵戳,該 726 00:37:20,040 --> 00:37:26,470 指badguy.com可以讓他或她自己 的HTTP請求,發送該同一手 727 00:37:26,470 --> 00:37:30,210 郵票,同樣的餅乾頭, 並登錄到任何網站 728 00:37:30,210 --> 00:37:33,680 你來訪,這在 這種情況下是vulnerable.com。 729 00:37:33,680 --> 00:37:35,940 這是一個跨站點腳本 攻擊感 730 00:37:35,940 --> 00:37:38,130 那種認為你欺騙 一個網站到算命 731 00:37:38,130 --> 00:37:43,560 一些信息其他網站 它不應該,事實上,有機會獲得。 732 00:37:43,560 --> 00:37:46,510 >> 好了,準備好一 其他令人擔憂的細節? 733 00:37:46,510 --> 00:37:49,970 好吧,這個世界是一個 可怕的地方,所以合法。 734 00:37:49,970 --> 00:37:52,480 下面是一個簡單的 JavaScript的例子是 735 00:37:52,480 --> 00:37:54,847 在今天的源代碼 叫地理位置0和1。 736 00:37:54,847 --> 00:37:56,930 還有一對夫婦 這次網上演練。 737 00:37:56,930 --> 00:37:59,920 >> 而且它的下面,如果我 在Chrome瀏覽器中打開此網頁。 738 00:37:59,920 --> 00:38:04,590 它首先不執行任何操作。 739 00:38:04,590 --> 00:38:07,300 OK,我們將再次嘗試此。 740 00:38:07,300 --> 00:38:07,800 呵呵。 741 00:38:07,800 --> 00:38:10,990 742 00:38:10,990 --> 00:38:13,370 不,它應該做的事情。 743 00:38:13,370 --> 00:38:16,500 OK,袖手旁觀。 744 00:38:16,500 --> 00:38:18,200 >> 讓我們來試試這一次。 745 00:38:18,200 --> 00:38:21,285 746 00:38:21,285 --> 00:38:21,785 [聽不清] 747 00:38:21,785 --> 00:38:26,941 748 00:38:26,941 --> 00:38:29,444 嗯,好吧,不知道為什麼 the--哦,家電 749 00:38:29,444 --> 00:38:31,360 可能丟失網絡連接 訪問由於某種原因。 750 00:38:31,360 --> 00:38:32,840 好吧,那麼發生在我身上了。 751 00:38:32,840 --> 00:38:34,650 >> 好吧,這樣的通知 什麼是怎麼回事。 752 00:38:34,650 --> 00:38:37,300 這個神秘的前瞻性URL,這 是CS50的服務器只有一個, 753 00:38:37,300 --> 00:38:41,130 想用我的電腦 位置,就像物理上它的意思。 754 00:38:41,130 --> 00:38:45,160 而事實上,如果我點擊 讓,讓我們看看會發生什麼。 755 00:38:45,160 --> 00:38:49,030 很顯然,這是我當前的緯度 縱坐標向下 756 00:38:49,030 --> 00:38:51,660 一個相當不錯的解決方案。 757 00:38:51,660 --> 00:38:53,310 >> 所以,我怎麼會在這得到什麼? 758 00:38:53,310 --> 00:38:57,620 請問這個網站,像CS50服務器, 知道身體在世界何處 759 00:38:57,620 --> 00:38:59,600 我,更別說與精度。 760 00:38:59,600 --> 00:39:01,990 好吧,原來out--就讓我們 看網頁的source-- 761 00:39:01,990 --> 00:39:05,280 在這裡是一堆HTML的 首先有this--底部 762 00:39:05,280 --> 00:39:09,080 身體的onload =“定位”那些 - 只是一個功能,我寫。 763 00:39:09,080 --> 00:39:11,840 >> 而我說,裝上 頁面,調用物理定位。 764 00:39:11,840 --> 00:39:13,750 再沒有什麼 在體內,因為 765 00:39:13,750 --> 00:39:16,270 在頁的頭部, 注意我這裡有。 766 00:39:16,270 --> 00:39:18,090 這是我的大地定位功能。 767 00:39:18,090 --> 00:39:23,560 而這僅僅是一些錯誤checking-- 如果navigator.geolocation的類型 768 00:39:23,560 --> 00:39:24,490 是不是不確定的。 769 00:39:24,490 --> 00:39:26,240 因此,JavaScript有這 機制,在那裡你 770 00:39:26,240 --> 00:39:28,270 可以說,什麼是 這個變量的類型? 771 00:39:28,270 --> 00:39:30,790 如果它沒有undefined-- 這意味著它是一些value-- 772 00:39:30,790 --> 00:39:35,940 我要打電話 navigator.geolocation.getCurrentPosition 773 00:39:35,940 --> 00:39:37,230 然後回調。 774 00:39:37,230 --> 00:39:37,750 >> 這是什麼? 775 00:39:37,750 --> 00:39:39,916 所以在一般情況下,什麼是一 回調,只是要清楚嗎? 776 00:39:39,916 --> 00:39:42,890 你可能曾經遇到過 這已經pset8。 777 00:39:42,890 --> 00:39:44,790 回調是一個通用的 術語做什麼的? 778 00:39:44,790 --> 00:39:48,430 779 00:39:48,430 --> 00:39:49,554 只是覺得我今天一樣。 780 00:39:49,554 --> 00:39:50,470 聽眾:[聽不清]。 781 00:39:50,470 --> 00:39:53,322 782 00:39:53,322 --> 00:39:55,280 DAVID J.馬蘭:沒錯, 一個函數,它應該 783 00:39:55,280 --> 00:39:57,330 被稱為只有當我們擁有的數據。 784 00:39:57,330 --> 00:40:01,510 這個調用瀏覽器,讓我當前 位置,可能需要一毫秒, 785 00:40:01,510 --> 00:40:02,720 這可能需要一分鐘。 786 00:40:02,720 --> 00:40:06,960 這句話的意思是,我們都在講 的get getCurrentPosition方法, 787 00:40:06,960 --> 00:40:09,910 調用這個回調函數, 我從字面上命名回調 788 00:40:09,910 --> 00:40:13,150 為簡單起見,這 顯然這是一個在這裡。 789 00:40:13,150 --> 00:40:16,290 >> 和getCurrentPosition的工作方式, 簡單地通過讀取文檔 790 00:40:16,290 --> 00:40:19,540 對於一些JavaScript代碼在網上,是 它調用了所謂的回調 791 00:40:19,540 --> 00:40:23,220 功能,通過它進入 它的JavaScript對象, 792 00:40:23,220 --> 00:40:28,970 其內部是.coords.latitude 和.coords.longitude, 793 00:40:28,970 --> 00:40:32,140 這是究竟如何,那麼, 當我重新加載該頁面, 794 00:40:32,140 --> 00:40:33,985 我能看到我的位置在這裡。 795 00:40:33,985 --> 00:40:35,610 現在,至少有一個防守位置。 796 00:40:35,610 --> 00:40:37,820 在我訪問過這個頁面, 當實際工作, 797 00:40:37,820 --> 00:40:40,935 是我至少會提示什麼? 798 00:40:40,935 --> 00:40:42,180 >> 聽眾:[聽不清]。 799 00:40:42,180 --> 00:40:44,200 >> DAVID J.馬蘭:是或no--做 要允許或拒絕呢? 800 00:40:44,200 --> 00:40:46,630 不過想想也對習慣 你們可能已經通過, 801 00:40:46,630 --> 00:40:48,330 無論您的手機和您的瀏覽器。 802 00:40:48,330 --> 00:40:50,390 我們很多人,我自己 包括,可能 803 00:40:50,390 --> 00:40:54,960 漂亮的傾向,這些days--你 看到一個彈出窗口,只需輸入,確認,批准, 804 00:40:54,960 --> 00:40:55,730 允許。 805 00:40:55,730 --> 00:40:59,070 而且越來越多,你可以把 自己在危險的原因。 806 00:40:59,070 --> 00:41:03,280 >> 所以,事實上,有這種奇妙的bug 幾年ago--或缺乏feature-- 807 00:41:03,280 --> 00:41:08,250 該iTunes的有幾年前, 因此,如果你有一部手機, 808 00:41:08,250 --> 00:41:12,000 它是一個iPhone, 你離開你的家 809 00:41:12,000 --> 00:41:15,600 因此,在世界各地旅行 或附近,這麼長的時間, 810 00:41:15,600 --> 00:41:17,819 你的手機登錄 在這裡你都可以通過GPS。 811 00:41:17,819 --> 00:41:20,610 這實際上是透露, 種人們現在期待這一點。 812 00:41:20,610 --> 00:41:21,930 你的手機知道你在哪裡。 813 00:41:21,930 --> 00:41:24,990 但問題是, 當你備份 814 00:41:24,990 --> 00:41:29,260 你的手機iTunes--這是前 iCloud中的天,這是為了更好的 815 00:41:29,260 --> 00:41:33,960 或為worse--數據被存儲 在iTunes中,完全未加密。 816 00:41:33,960 --> 00:41:37,370 所以,如果你有家人或室友 或者惡意的鄰居是誰的 817 00:41:37,370 --> 00:41:41,430 好奇字面上每個GPS 協調你曾經去過, 818 00:41:41,430 --> 00:41:43,300 他或她可以只 坐下來,在iTunes中,運行 819 00:41:43,300 --> 00:41:46,540 一些軟件,是自由 可用,製作地圖是這樣的。 820 00:41:46,540 --> 00:41:48,680 >> 其實,這就是我 製作我自己的手機。 821 00:41:48,680 --> 00:41:49,380 我插了。 822 00:41:49,380 --> 00:41:51,670 它看起來像,基於 藍色圓點在那裡, 823 00:41:51,670 --> 00:41:53,900 這就是大多數 GPS坐標分別為 824 00:41:53,900 --> 00:41:56,680 通過登錄iTunes的我 在東北那裡。 825 00:41:56,680 --> 00:42:00,030 但我顯然走遍 了一下,即使是在美國馬薩諸塞州。 826 00:42:00,030 --> 00:42:01,950 >> 所以這是波士頓港 就在那裡。 827 00:42:01,950 --> 00:42:04,430 這是一種劍橋大學和 波士頓,在那裡它是最黑暗的。 828 00:42:04,430 --> 00:42:07,660 偶爾,我會跑 跑腿到更大的地域。 829 00:42:07,660 --> 00:42:11,464 >> 但iTunes的,多年來,曾作為最好的 我看得出來,所有這些數據在我身上。 830 00:42:11,464 --> 00:42:13,380 你可以告訴, 那年,我竟是 831 00:42:13,380 --> 00:42:17,990 走了很多波士頓之間 和紐約,來回 832 00:42:17,990 --> 00:42:18,830 和來回。 833 00:42:18,830 --> 00:42:22,660 事實上,這是我對美鐵,回 回回,反反复复,相當多的。 834 00:42:22,660 --> 00:42:25,970 所有這一切都被被記錄和 加密存儲在我的電腦 835 00:42:25,970 --> 00:42:28,520 對於任何人誰可能有 進入我的電腦。 836 00:42:28,520 --> 00:42:29,480 >> 這是令人擔憂的。 837 00:42:29,480 --> 00:42:32,180 我不知道為什麼我是 在賓夕法尼亞州,或為什麼 838 00:42:32,180 --> 00:42:35,277 我的手機是在賓夕法尼亞州, 顯然相當密集。 839 00:42:35,277 --> 00:42:37,360 然後,終於,我看著 我克卡,而且,哦,我 840 00:42:37,360 --> 00:42:39,880 參觀CMU,卡內基 梅隆大學的時候。 841 00:42:39,880 --> 00:42:42,031 並表示不快,那種 解釋說,曇花一現。 842 00:42:42,031 --> 00:42:43,780 然後,如果你放大 了進一步的,可以 843 00:42:43,780 --> 00:42:46,850 見我訪問舊金山 一次或多次,然後, 844 00:42:46,850 --> 00:42:51,140 我甚至有一個短暫停留了什麼 我認為這是拉斯維加斯,在那裡。 845 00:42:51,140 --> 00:42:54,120 所以this--的一切只是一個 臨時滯留在機場。 846 00:42:54,120 --> 00:42:56,420 >> 聽眾:[笑] 847 00:42:56,420 --> 00:43:00,760 >> 因此,這是唯一地說,這些 的問題,說實話,是無處不在的。 848 00:43:00,760 --> 00:43:02,780 它只是感覺 越來越喜歡有 849 00:43:02,780 --> 00:43:05,810 更多的這種多被披露, 這可能是一件好事。 850 00:43:05,810 --> 00:43:08,390 我敢說,世界上沒有 越來越差的刻錄軟件。 851 00:43:08,390 --> 00:43:10,520 我們正在變得越來越好, 希望,在注意到 852 00:43:10,520 --> 00:43:13,037 多麼糟糕某些軟件 就是我們使用。 853 00:43:13,037 --> 00:43:14,870 而幸運的是,一些 公司正開始 854 00:43:14,870 --> 00:43:17,080 舉行這個責任。 855 00:43:17,080 --> 00:43:19,080 >> 但是,什麼樣的防禦 你可以有什麼想法? 856 00:43:19,080 --> 00:43:23,610 因此,除了密碼管理器,像 的1Password和LastPass的和其他人, 857 00:43:23,610 --> 00:43:27,340 除了剛剛更改您的密碼 並想出隨機的人 858 00:43:27,340 --> 00:43:29,700 使用軟件,如 這一點,你也可以嘗試 859 00:43:29,700 --> 00:43:31,700 盡你所能來加密 所有的流量 860 00:43:31,700 --> 00:43:34,680 到至少縮小的威脅的區域。 861 00:43:34,680 --> 00:43:38,100 因此,例如,哈佛大學附屬公司, 你可以都去vpn.harvard.edu 862 00:43:38,100 --> 00:43:41,010 並與哈佛的ID和密碼登錄。 863 00:43:41,010 --> 00:43:49,350 這將建立一個安全的 你和哈佛大學之間的連接。 864 00:43:49,350 --> 00:43:51,150 >> 現在,這不 一定保護你 865 00:43:51,150 --> 00:43:54,360 對那些之間的任何威脅 哈佛和Facebook或哈佛 866 00:43:54,360 --> 00:43:54,861 和Gmail。 867 00:43:54,861 --> 00:43:56,735 但是,如果你坐在 在機場或你 868 00:43:56,735 --> 00:43:59,260 坐在星巴克或者你 坐在朋友的地方, 869 00:43:59,260 --> 00:44:02,730 而你真的不相信他們或他們的 他們家的路由器的配置, 870 00:44:02,730 --> 00:44:04,970 至少你可以建立 安全連接 871 00:44:04,970 --> 00:44:10,260 以這樣的地方,是一個實體 可能會更好一點保障 872 00:44:10,260 --> 00:44:12,437 不是有點像 星巴克等。 873 00:44:12,437 --> 00:44:14,270 而這樣做是什麼 它建立,再次 874 00:44:14,270 --> 00:44:16,300 你和端點之間的加密。 875 00:44:16,300 --> 00:44:17,880 >> 更炫的這樣的事情。 876 00:44:17,880 --> 00:44:20,000 所以,有些人可能已經 熟悉的Tor, 877 00:44:20,000 --> 00:44:22,930 這是這種匿名的 網絡,其中很多人, 878 00:44:22,930 --> 00:44:26,640 如果運行該軟件,路徑 隨後他們的互聯網 879 00:44:26,640 --> 00:44:27,990 通過互相通信。 880 00:44:27,990 --> 00:44:31,460 所以,在最短的點 不再A和B之間 881 00:44:31,460 --> 00:44:35,850 但也可能是遍布 到位,使你根本 882 00:44:35,850 --> 00:44:40,742 涵蓋了人的跟踪和離開 少一個記錄,以在您的HTTP 883 00:44:40,742 --> 00:44:43,950 流量從何而來,因為它會 通過一大堆別人的 884 00:44:43,950 --> 00:44:45,990 筆記本電腦或台式機, 是好還是壞。 885 00:44:45,990 --> 00:44:48,180 >> 但是,即使這不是一個萬無一失的事情。 886 00:44:48,180 --> 00:44:51,560 你們當中有些人可能還記得,去年 炸彈恐嚇事件被稱為英寸 887 00:44:51,560 --> 00:44:54,662 它最終被追查到 用戶誰曾在這裡使用這個網絡。 888 00:44:54,662 --> 00:44:57,870 與追趕那裡,我記得是, 如果沒有那麼多其他人 889 00:44:57,870 --> 00:45:02,190 使用這樣或軟件 使用此端口和協議, 890 00:45:02,190 --> 00:45:06,250 它不是很難的網絡連 找出誰,以一定概率, 891 00:45:06,250 --> 00:45:08,950 事實上是匿名 他或她的通信。 892 00:45:08,950 --> 00:45:12,030 >> 我不知道這些人的 實際的細節問題。 893 00:45:12,030 --> 00:45:15,400 但可以肯定,實現了無一 這些是萬無一失的解決方案,以及。 894 00:45:15,400 --> 00:45:18,820 而今天在這裡的目標是至少 讓你思考這些事情 895 00:45:18,820 --> 00:45:23,140 而未來與技巧 保衛自己免受他們。 896 00:45:23,140 --> 00:45:28,858 所有的威脅有任何疑問 等待著你在那裡,並在這裡? 897 00:45:28,858 --> 00:45:29,358 是嗎? 898 00:45:29,358 --> 00:45:29,858 899 00:45:29,858 --> 00:45:31,793 聽眾:如何安全的做 我們預計平均 900 00:45:31,793 --> 00:45:35,210 [?網站是,?]喜歡 平均CS50項目? 901 00:45:35,210 --> 00:45:38,530 >> DAVID J.馬蘭:本 平均CS50項目? 902 00:45:38,530 --> 00:45:43,190 它總是證明,每年的 一些CS50最終項目不 903 00:45:43,190 --> 00:45:44,530 特別是安全的。 904 00:45:44,530 --> 00:45:47,940 通常情況下,它的一些室友或 hallmate的數字了這一點 905 00:45:47,940 --> 00:45:51,200 通過發送請求到您的項目。 906 00:45:51,200 --> 00:45:55,230 >> 總之answer--多少 網站是安全的? 907 00:45:55,230 --> 00:45:57,450 我撿今天異常。 908 00:45:57,450 --> 00:46:00,640 就像這只是偶然事件 我意識到,這個網站 909 00:46:00,640 --> 00:46:03,390 我已經訂購這些坦然 美味的安排from-- 910 00:46:03,390 --> 00:46:05,348 我不相信我會 停止使用他們的網站; 911 00:46:05,348 --> 00:46:08,030 我可能只是改變我 密碼更regularly-- 912 00:46:08,030 --> 00:46:11,320 目前還不清楚到底有 弱勢所有這些various-- 913 00:46:11,320 --> 00:46:12,970 這是巧克力覆蓋的實際。 914 00:46:12,970 --> 00:46:16,172 915 00:46:16,172 --> 00:46:19,130 簡短的回答,我不能回答這個問題 有效的,只是說這 916 00:46:19,130 --> 00:46:22,150 不是說我很難 發現其中的一些例子,只是 917 00:46:22,150 --> 00:46:24,040 為了討論在演講的緣故。 918 00:46:24,040 --> 00:46:26,456 而只是保持在眼睛上 谷歌新聞和其他資源 919 00:46:26,456 --> 00:46:29,590 將帶來更 這些事情點亮。 920 00:46:29,590 --> 00:46:32,460 >> 好吧,讓我們來總結 這個前傳 921 00:46:32,460 --> 00:46:36,870 該CS50的團隊已經為你準備 在預期CS50黑客馬拉松的。 922 00:46:36,870 --> 00:46:39,763 和你的出路在 此刻,水果會送達。 923 00:46:39,763 --> 00:46:40,429 [視頻回放] 924 00:46:40,429 --> 00:46:43,595 [MUSIC菲姬,Q提示和GOONROCK,“A 小小的宴會不會導致死亡NOBODY(ALL 925 00:46:43,595 --> 00:46:44,373 WE GOT)“] 926 00:46:44,373 --> 00:48:08,880 927 00:48:08,880 --> 00:48:13,467 >> - [打鼾] 928 00:48:13,467 --> 00:48:14,300 [完視頻回放] 929 00:48:14,300 --> 00:48:15,420 DAVID J.馬蘭:這就是它的CS50。 930 00:48:15,420 --> 00:48:16,544 我們會看到你在週三。 931 00:48:16,544 --> 00:48:20,670 932 00:48:20,670 --> 00:48:25,840 [MUSIC - 史奇雷克斯,“IMMA”實戰“] 933 00:48:25,840 --> 00:51:47,776