[Speel van musiek] 

David Malan: Dit is CS50, en dit is die begin van die week 10. En jy kan onthou beeld van 'n paar weke terug wanneer ons gepraat oor die internet en hoe dit is eintlik fisies geÃ¯mplementeer. En u sal onthou dat daar eintlik 'n hele klomp van die kabels asook draadlose tegnologie wat interkonneksie al die nodes of routers en ander sulke tegnologie op die internet. En 'n baie wat underseas. 

Wel, dit blyk dat diegene underseas kabels is 'n bietjie van 'n teiken. En vandag se lesing is heeltemal oor die veiligheid, nie net die bedreigings wat ons almal gesig fisies nie, maar ook feitlik, en ook in die rigting van stertkant vandag 'n paar van die verdediging dat ons as gebruikers kan eintlik in plek gestel. 

Maar eers, een van die eerste en miskien die meeste fisiese threat-- [Video speel] -Could Rusland beplanning 'n aanval op die ondersese kabels wat verbind globale internet? 

-Russian Skepe en duikbote loer naby ondersese kabels wat dra byna al van die wÃªreld se internet. 

-Die Hele internet is gedra langs hierdie kabels. 

-Eerste Van alles, wat is die internet doen onderwater? Laaste keer wat ek nagegaan, ek is nie veronderstel om my rekenaar nat. Tweedens, as jy my vra hoe die internet reis van kontinent tot kontinent, Ek sou gesÃª het satelliete of lasers, of, eerlik, Ek sou waarskynlik net gesÃª die internet. 

En wat gebeur het met die wolk? Ek het gesÃª daar was 'n wolk. Onthou? Hey, laat ons sit dit in die wolk. Dit was soos die internet is 'n damp van inligting wat die aarde sirkels, en jou rekenaar was soos 'n skeplepel wat krap uit wat jy nodig het. 

Maar dit blyk uit die internet is eintlik onderwater omdat hierdie kabels dra meer as 95% van die daaglikse internet kommunikasie. En Amerikaanse intelligensie bekommerd dat in tye van spanning of konflik, Rusland kan oord te sny hulle. Dit sou die grootste ontwrigting om jou internet diens sedert jou naaste boontoe sit 'n wagwoord op sy Wi-Fi. OK? Probeer die naam van sy hond. [Einde afspeel] David Malan: Voordat ons nou na sommige van die meer virtuele dreigemente, 'n paar van die aankondiging. So ons vriende 'n CrimsonEMS is tans werwing vir nuwe EMTs, Nood mediese tegnici. En dit is eintlik iets veral naby aan my hart. 

'N lang tyd gelede, het ek onthou dat in 'n Ikea kort na die gradeplegtigheid, eintlik. En as ek verlaat die winkel, is hierdie klein seuntjie wat in 'n stootwaentjie was begin draai letterlik blou. En hy is op 'n stuk verstik kos wat vermoedelik het gekry in sy keel vas. 

En sy moeder was paniekbevange. Die ouers rondom hulle was paniekbevange. En selfs ek, wat 'n bietjie van bekendheid het met EMS net by wyse van vriende, heeltemal gevries. En dit was net te danke aan iets soos 'n 15-jarige lewensredder wat hardloop en eintlik geweet wat om te doen instinktief en om hulp geroep en eintlik trek die seuntjie uit sy stootwaentjie en eintlik aangespreek die situasie. 

En vir my, dit was 'n keerpunt. En dit was daardie oomblik in tyd waar ek besluit, dammit, Ek moet my wet het bymekaar en eintlik weet hoe om te reageer op hierdie soorte situasies. En so het ek myself het gelisensieer jaar gelede as 'n EMT. En deur nagraadse skool het ek ry op MIT se ambulans vir 'n sekere tydperk van die tyd so goed as sedertdien gehou my lisensie. 

En eintlik, om hierdie dag, die hele van CS50 personeel hier in Cambridge eintlik in KPR gesertifiseer is, asook, vir soortgelyke redes. So as jy op alle belangstel in hierdie, daar is nooit genoeg tyd gaan hÃª in wees die dag iets nuuts aan te pak. Maar as jy wil 'n Nuwe Jaar se resolusie, moenie sluit hierdie ouens hier of oorweeg uit te reik na die Rooi Kruis vir sertifisering, hetsy hier of in New Haven, as well. 

So CS50 se laaste middagete is dit Vrydag. So as jy nog nie by ons aangesluit het, of indien jy het en wat jy nog een keer wil, moenie gaan op die webwerf CS50 se vul die vorm daar. Weet ook dat ons vriende in Yale, Professor Scassellati, is die vervaardiging van 'n AI, kunsmatige intelligensie, reeks vir ons wat sal begin om te debuut Hierdie week op video. So, veral as jy belangstel in die voortsetting van 'n finale projek of ander manier verwant aan kunsmatige intelligensie, natuurlike taal verwerking, selfs robotika, besef dat hierdie testament 'n wonderlike inspirasie vir daardie. 

En net om jou 'n teaser gee van hierdie, hier is Scaz homself. 

[Video speel] 

-Een Van die baie groot dinge oor rekenaarwetenskap is dat met selfs net 'n paar weke van studie, jy gaan in staat wees om te verstaan baie van die intelligente artefakte en toestelle wat bevolk ons moderne wÃªreld. In hierdie kort video reeks, gaan ons om te kyk na dinge soos hoe Netflix staat om voor te stel en aan te beveel movies dat ek graag sou wou nie, hoe is dit dat Siri kan vrae wat ek het beantwoord, hoe dit is dat Facebook kan my aangesig erken en outomaties tag my in 'n foto, of hoe Google is in staat om te bou 'n motor wat dryf op sy eie. 

So ek hoop dat jy my aan te sluit vir hierdie kort reeks video's, die CS50 AI reeks. Ek dink jy sal vind dat jy weet veel meer as wat jy dink jy het. [Einde afspeel] David Malan: So diegene sal op vertoon webwerf die kursus se later hierdie week. Bly ingeskakel. En in die tussentyd, 'n paar aankondigings oor wat voorlÃª. So ons is hier. Dit is in ons lesing oor sekuriteit. Eerskomende Woensdag, Scaz en Andy, ons hoof onderrig man in New Haven, hier sal wees om te kyk na kunsmatige intelligensie self vir 'n blik op berekening vir communication-- hoe om stelsels wat gebruik bou taal om te kommunikeer uit ELIZA, As jy vertroud is met hierdie is sagteware van weleer, om Siri meer onlangs en Watson, wat jy dalk weet van Jeopardy of die wil. 

Toe volgende Maandag, ons is nie hier in Cambridge. Ons is in New Haven vir 'n tweede kyk na kunsmatige intelligensie met Scaz en geselskap AI teenstanders in speletjies. So as jy ooit gespeel het teen die rekenaar in 'n video game of mobiele spel of die wil, sal ons praat oor presies hoe that-- om teenstanders te bou vir speletjies, hoe om dinge te verteenwoordig onder die enjinkap met behulp van bome uit speletjies soos tic-tac-toe skaak werklike moderne video speletjies, as well. 

Ongelukkig quiz een is kort daarna. Meer besonderhede oor wat op CS50 se webwerf later hierdie week. En ons finale lesing by Yale sal wees dat Vrydag nÃ¡ die quiz. En ons finale lesing by Harvard sal die Maandag daarna, uit die aard van die skedulering. 

En so in terme van mylpale, Behalwe pset agt uit hierdie week; status verslag, wat sal 'n vinnige sanity check tussen jou en jou onderrig mede; die hackathon, wat sal hier in Cambridge wees vir studente uit New Haven en Cambridge gelyk. Ons sal sorg vir al neem vervoer van New Haven. Die implementering van die finale projek sal wees as gevolg. En dan vir beide kampusse sal daar 'n CS50 eerlik te wees wat ons toelaat om te neem 'n blik op en vreugde in wat almal bereik het. 

Trouens, ek het gedink dit sou 'n goeie wees oomblik om aandag te vestig op hierdie toestel hier, wat ons gebruik het vir 'n bedrag van tyd hier, wat is 'n mooi touch screen. En eintlik, verlede jaar het ons het 'n $ 0,99 app dat ons afgelaai word vanaf die Windows app stoor sodat teken op die skerm. 

Maar eerlik, dit was baie deurmekaar. Dit het ons toegelaat om op die skerm, maar daar was, soos, 'n baie ikone hier. Die gebruikerskoppelvlak is baie sleg. As jy wil verander sekere instellings, was daar net so baie damn klik. En die gebruiker interface-- of meer behoorlik, die gebruiker experience-- was mooi suboptimale, veral die gebruik daarvan in 'n lesing omgewing. 

En so het ons bereik uit 'n Vriend van ons by Microsoft, Bjorn, wat eintlik was volgende saam met CS50 aanlyn. En as sy finale projek, wese, het hy baie genade neem 'n paar insette van ons as om presies te die funksies en gebruikers ervaring ons wil hÃª. En hy het daarna oor die bou van vir Windows hierdie aansoek hier wat ons toelaat om draw-- oops-- en spel op the-- wow. Dankie. Om te teken en spel op die skerm hier met 'n baie minimale gebruikerskoppelvlak. 

So jy my gesien het, miskien, tik up hier ooit so iets En waar ons kan dinge onderstreep in rooi. Ons kan wissel en nou gaan na die wit teks hier. As ons wil eintlik verwyder die skerm, kan ons dit doen. En as ons eintlik verkies om 'n wit doek, kan ons dit doen. So is dit so verskriklik min doen deur die ontwerp en doen dit goed. Sodat ek futz hopelik veel minder vanjaar in die klas. 

En danksy ook om 'n beskermling van sy Ek het vandag dra 'n bietjie ring. Dit is Benjamin, wat was interning met Bjorn hierdie somer. So dit is 'n bietjie ring. Dit is 'n bietjie groter as my gewone ring. Maar deur 'n bietjie bel op die kant hier kan ek eintlik beweeg die skyfies links en regs, vorentoe en terug, en eintlik dinge bevorder draadloos sodat, een, ek het nie om voort te gaan terug na die ruimte bar hier. En twee, het ek nie hÃª een van daardie dom clickers en beslag my hand deur die hou van die damn ding al die tyd om kliek. En sekerlik in die tyd, sal die hardeware soos hierdie kry super, super kleiner. 

So beslis nie huiwer buite die boks te dink en dinge te doen en te skep dinge wat nie eens bestaan âânog vir finale projekte. Sonder verdere uitstel het, 'n blik op wat wag as jy duik in jou finale projekte by die CS50 hackathon 

[Video speel] 

[Speel van musiek] 

[Snork] [Einde afspeel] David Malan: Alle reg. So die Stephen Colbert clip dat ek net 'n oomblik gelede het was eintlik op TV net 'n paar dae gelede. En in die feit, 'n paar van die ander clips ons sal wys vandag is ongelooflik onlangse. En in die feit dat praat met die realiteit dat soveel van tegnologie en, eerlik, 'n baie van die idees Ons het gepraat oor in CS50 werklik is alomteenwoordig. En een van die doelwitte van die die kursus is beslis om jou toe te rus met vaardighede sodat tegniese dat jy eintlik probleme kan oplos programmaties, maar twee, sodat jy kan eintlik beter besluite en meer ingeligte besluite. En, in werklikheid, tematiese regdeur die pers en aanlyn video's en artikels hierdie dae is net 'n skrikwekkende misverstand of gebrek begrip van hoe tegnologie werk, veral onder politici. 

En so ja, in net 'n bietjie ons sal 'n blik op een van diÃ© besonderhede, ook. Maar letterlik net verlede nag was ek sit in Bertucci se, 'n plaaslike franchise Italiaanse plek. En ek hop op hul Wi-Fi. En ek was baie gerusgestel om te sien dat dit is veilig. En Ek het geweet dat, want dit sÃª hier "Veilige Internet portaal" wanneer die skerm opgekom. So dit was die klein vinnige wat kom in Mac OS of in Windows wanneer jy in verbinding te 'n Wi-Fi-netwerk vir die eerste keer. En ek het om te lees deur middel van hul terme en voorwaardes en uiteindelik klik OK. En dan was ek toegelaat om voort te gaan. 

So laat ons begin om weer te dink wat al dit beteken en om nie meer te neem vir toegestaan ââwat mense vertel ons wanneer ons kry dit met verskeie tegnologie. So een, wat beteken dit dat dit is 'n veilige internet portaal? Wat kan Bertucci se my word gerusstellend van? GEHOOR: Die pakkies gestuur heen en weer word geÃ¯nkripteer. David Malan: Goed. Die pakkies word terug gestuur en weer word geÃ¯nkripteer. Is dat in die feit dat die saak? As dit die geval was, Wat sou ek het om te doen of wat ek wil hÃª om te weet? Wel, jy wil 'n bietjie te sien hangslot ikoon in Mac OS of in Windows te sÃª dat daar is inderdaad 'n enkripsie of skommeling aangaan. Maar voor jy 'n geÃ«nkripteerde kan gebruik portaal of Wi-Fi verbinding, wat doen wat jy hoef te gewoonlik tik? 'N wagwoord. Ek weet nie so wagwoord nie het ek so 'n wagwoord tik. Ek het net gekliek OK. So dit is heeltemal betekenisloos. Dit is nie 'n veilige internet portaal. Dit is 'n 100% onseker internet portaal. Daar is absoluut geen enkripsie gaan op, en al wat maak dit veilig is dat drie-woord frase op die skerm is daar. 

So dit beteken niks nie, noodwendig, tegnologies. En 'n bietjie meer kommerwekkende, as jy eintlik Lees die terme en voorwaardes, wat is verbasend leesbare, was this-- "jy verstaan ââdat ons behou die reg om aan te meld of monitor die verkeer na verseker dat hierdie terme word gevolg. " So dit is 'n bietjie creepy, as Bertucci se kyk my internet verkeer. Maar die meeste enige ooreenkoms wat jy blindelings gekliek deur het sekerlik gesÃª dat voor. 

So, wat doen wat eintlik beteken tegnologies? So as daar is 'n paar grillerige man of vrou in die rug wie is soos, monitering al die internet verkeer, hoe hy of sy toegang tot daardie inligting presies? Wat is die tegnologiese beteken via wat dat person-- of teenstander, meer generally-- kan word op soek na ons verkeer? 

Wel, as daar is geen kodering, wat allerhande dinge kon hulle snuif, om so te praat, soort van op te spoor in die lug. Wat sou jy sien? Ja? 

GEHOOR: Die pakkies gestuur vanaf jou rekenaar na die router? 

David Malan: Ja. Die pakkies van gestuur die rekenaar na jou router. Sodat jy kan onthou toe ons was in New Haven, ons verby die koeverte, fisies, regdeur die gehoor te verteenwoordig data gaan deur die internet. En beslis, as ons gooi hulle deur die gehoor draadloos om hul bestemming te bereik, kan enigiemand soort gryp dit en maak 'n afskrif van dit en eintlik sien wat binnekant van die koevert. 

En, natuurlik, wat is binnekant van hierdie koeverte is 'n aantal van die dinge, insluitende die IP adres dat jy probeer om toegang of die host naam, die soos www.harvard.edu of yale.edu wat jy probeer om toegang te verkry of iets heeltemal anders. Verder het die pad, too-- jy weet uit pset ses wat binnekant van HTTP-versoek is te kry slash something.html. So as jy 'n besoek van 'n spesifieke bladsy, 'n spesifieke beeld of video te laai, al daardie inligting is binnekant van die pakkie. En so iemand daar in Bertucci se blikkie kyk na daardie selfde data. Wel, wat is 'n paar ander bedreigings langs hierdie lyne Dink voordat jy te wees net begin aanvaar as 'n feit wat iemand soos Bertucci se net vir jou vertel? Wel, dit was 'n article-- 'n reeks artikels wat gekom het uit net 'n paar maande terug. Al die woede hierdie dae is hierdie nuwerwetse smart TV's. Wat is 'n slim TV, as jy het gehoor van hulle of een by die huis? GEHOOR: internet konneksie? David Malan: Ja, internet konneksie. So algemeen, 'n slim TV is 'n TV met internet konneksie en 'n baie crappy gebruiker koppelvlak wat maak dit moeiliker om werklik te gebruik die web want jy het om te gebruik, soos, up, af, links, en regs of iets op jou remote control net om dinge wat soveel toegang makliker gedoen op 'n laptop. 

Maar meer kommerwekkend oor 'n slim TV, en Samsung televisies in hierdie spesifieke geval, was dat Samsung TV's en ander hierdie dae kom met sekere hardeware te skep wat hulle beweer is 'n beter gebruikerskoppelvlak vir jou. So een, kan jy om te praat sommige van jou TV hierdie dae, nie in teenstelling met Siri of enige van die ander ekwivalente op selfone. Sodat jy kan sÃª opdragte, soos verandering kanaal, verhoog volume, draai af, of die wil. Maar wat is die implikasie van wat logies? As jy het die TV in jou lewe kamer of die TV aan die voet van die bed slaap te val, Wat is die implikasie? Ja? 

GEHOOR: Daar is dalk iets wees gaan in deur die meganisme om jou toespraak te spoor. David Malan: Ja. GEHOOR: wat kan gestuur word via die internet. As dit is ongeÃ«nkripteerde, dan is dit kwesbaar. David Malan: Inderdaad. As jy 'n mikrofoon gebou in 'n TV en sy doel in die lewe is, deur ontwerp, om te luister aan jou en reageer op jou, dit is sekerlik gaan wees luister na alles wat jy sÃª en dan die vertaling dat sommige ingebed instruksies. Maar die catch is dat die meeste van hierdie TV is nie perfek hulself slim. Hulle is baie afhanklik van wat internet konneksie. 

So baie soos Siri, wanneer jy praat in jou selfoon, vinnig stuur wat data oor die internet te Apple bedieners, dan kry terug 'n reaksie, wat letterlik is die Samsung TV en ekwivalente net alles wat jy is die stuur sÃª in jou woonkamer of slaapkamer hul bedieners net om spoor het hy gesÃª, draai op die TV of draai af van die TV? En God weet wat anders kan word geuiter. Nou, daar is 'n paar maniere Om dit te verbeter, reg? Soos wat doen Siri en wat doen Google en ander doen om ten minste te verdedig teen dat die risiko dat hulle luister na absoluut alles? Dit moet geaktiveer deur iets te sÃª soos, hey, Siri, of hi Google of dies of OK, Google of die wil. 

Maar ons almal weet dat diegene uitdrukkings soort suig, reg? Soos ek was net sitting-- eintlik die laaste keer Ek was by die kantoorure by Yale, dink ek, Jason of een van die TFS gegil, soos, hey, Siri, hey, Siri en was besig om my selfoon doen dinge omdat hy te was proksimaal tot my werklike selfoon. Maar die omgekeerde is ook waar. Soms daardie dinge net skop op, want dit is onvolmaak. En inderdaad, natuurlike taal processing-- verstaan ââfrasering 'n mens se dan om iets te doen wat gebaseer is op it-- is beslis onvolmaak. 

Nou, erger nog, 'n paar van julle dalk gesien het of 'n televisie waar jy kan doen dom of nuwe-jarige ouderdom dinge soos hierdie kanale te verander na links of hierdie kanale te verander om die regte of verlaag die volume of die volume te verhoog. Maar wat beteken dit die TV het? 'N kamera wys na jou enigsins moontlik tye. 

En in die feit, die bohaai rondom Samsung TV waarvoor hulle het 'n paar Flack is dat as jy lees die terme en voorwaardes van die TV-- die ding jy seker nooit lees wanneer uitpak jou TV vir die eerste time-- ingesluit in was daar 'n bietjie disclaimer sÃª die ekwivalent van n jy dalk nie wil hÃª persoonlike gesprekke in die voorkant van hierdie TV. En dit is wat dit verminder word. 

Maar jy moet nie eens moet word vertel dat. Jy moet in staat wees om aflei uit die werklikheid dat mikrofoon en kamera letterlik wys my al die tyd Miskien is meer slegte as goeie. En eerlik, sÃª Ek ietwat skynheilig. Ek het letterlik, behalwe diÃ© kameras, Ek het 'n klein bietjie kamera hier in my laptop. Ek het 'n ander een hier. Ek het in my die Selfoon aan beide kante. So sodat Ek sit dit af die verkeerde manier, hulle kan nog steeds sien my en luister na my. 

En dit alles kan wees gebeur al die tyd. So wat keer my iPhone of Android selfoon van doen dit al die tyd? Hoe weet ons dat Apple en sommige creepy persoon by Google, luister nie in te hierdie baie gesprek deur die selfoon of gesprekke Ek het by die huis of by die werk? 

GEHOOR: Omdat ons lewens is nie so interessant. 

David Malan: Omdat ons lewens is nie interessant. Dit is eintlik 'n geldige antwoord. As ons nie bekommerd oor 'n spesifieke bedreiging, daar is 'n soort van wat omgee aspek om dit te. Klein ou my gaan nie om werklik 'n teiken wees. Maar hulle het seker kon. 

En so selfs al is jy sien 'n paar Wink dinge op TV en films, soos, ag, laat draai op die rooster and-- soos Batman doen dit 'n baie, eintlik, en eintlik kan sien Gotham, wat is gaan deur middel van mense se selfone of die wil. Sommige van dit is 'n bietjie futuristiese, maar ons is pretty much daar deesdae. 

Byna almal van ons is loop rond met GPS transponders wat vertel Apple en Google en almal wat wil weet waar ons is in die wÃªreld. Ons het 'n mikrofoon. Ons het 'n kamera. Ons vertel dinge soos Snapchat en ander programme almal wat ons ken, al hul telefoonnommers, al hul e-pos adresse. En so weer een van die wegneemetes vandag hopelik is om ten minste pouse 'n bietjie voor net blindelings gesÃª, OK wanneer jy wil die gerief van Snapchat weet wie al jou vriende is. Maar omgekeerd, nou Snapchat weet almal wat jy ken en enige klein notas jy dalk gemaak het in jou kontakte. 

So was dit 'n tydige een ook. 'N Paar maande terug, Snapchat self is nie in die gedrang. Maar daar is al geruime derde party programme wat dit makliker gemaak om te spaar breek en die vangs was dat die derde party diens is self in die gedrang, deels omdat die diens Snapchat se ondersteun 'n funksie wat hulle waarskynlik moet nie, wat toegelaat word vir hierdie Argief deur 'n derde party. 

En die probleem was dat 'n argief van, soos, 90000 breek, dink ek, is uiteindelik in die gedrang. En so kan jy 'n paar troos in dinge soos Snapchat om efemere, reg? Jy het sewe sekondes om te kyk na wat onvanpas boodskap of noot, en dan verdwyn dit. Maar 'n mens die meeste van julle het waarskynlik uitgepluis hoe om screenshots te neem deur die nou, wat is die mees maklike manier om te omseil nie. Maar twee, daar is niks stop die maatskappy of die persoon se op die internet van onderskepping wat data, potensieel, as well. 

So dit was letterlik net 'n dag of twee gelede. Dit was 'n mooi artikel kop op 'n webwerf online. "Epic Fail-- Power Worm Ransomware ongeluk Vernietig Data slagoffer se Gedurende Encryption. " So 'n ander geruk van die nuus soort ding hier. So jy mag hÃª gehoor van malware, wat is kwaadwillige software-- so sleg sagteware dat mense met te veel vrye tyd te skryf. En soms, is dit net nie dom dinge soos delete lÃªers of stuur spam of die wil. 

Maar soms, en al hoe meer, dit is meer gesofistikeerd, reg? Julle almal weet hoe om ploeteraars in enkripsie. En die keiser en Vigenere is nie super veilige, maar daar is ander mense, seker, wat meer gesofistikeerd. En ja, wat die teenstander het is 'n stukkie van malware geskryf wat een of ander manier besmet n n klomp van die rekenaars se mense. Maar hy soort van 'n idioot was en het 'n karretjie weergawe van hierdie malware sodanig dat wanneer hy of sy geÃ¯mplementeer om die code-- oh, ons is om 'n baie of-- jammer. Ons kry 'n baie treffers op die mikrofoon. OK. 

So, wat die probleem was dat hy of sy het 'n paar slegte kode. En so het hulle gegenereer pseudorandomly 'n enkripsie sleutel waarmee enkripteer data iemand se kwaadwillig, en dan per ongeluk gegooi weg van die enkripsie sleutel. So het die effek van hierdie malware is nie so bedoel, om data losprys iemand se deur versleutelen sy of haar hardeskyf en dan verwag $ 800 VSA in ruil vir die encryption sleutel, op watter punt die slagoffer kon decrypt sy of haar data. Inteendeel, die slegte ou eenvoudig geÃ¯nkripteer al die data op hul hardeskyf, per ongeluk verwyder die enkripsie sleutel, en het geen geld uit dit uit. Maar dit beteken ook dat die slagoffer is werklik 'n slagoffer, want nou is hy of sy kan nie enige van die data, tensy herstel hulle eintlik 'n paar ou-skool Friends daarvan. 

So ook hier is 'n soort van 'n werklikheid dat jy lees oor hierdie dae. En hoe kan jy verdedig teen dit? Wel, dit is 'n geheel kan wurms, geen woordspeling bedoel, oor virusse en wurms en dies meer. En daar is beslis sagteware waarmee jy jouself kan verdedig. Maar beter as wat net om slim daaroor. 

Trouens, ek haven't-- dit is een van hierdie dinge te doen soos ek sÃª, nie soos ek doen, perhaps-- Ek het nie regtig gebruik antivirus sagteware in jare want as jy in die algemeen weet wat om te kyk, kan jy verdedig teen die meeste alles op jou eie. En eintlik, tydige hier by Harvard-- daar was 'n fout of 'n probleem verlede week waar Harvard duidelik, soos, monitering baie netwerk verkeer. En almal van julle, selfs besoek die webwerf CS50 se dalk 'n waarskuwing woord gekry het dat jy hierdie webwerf kan besoek. Dit is nie te beveilig. Maar as jy probeer besoek Google of ander plekke, Ook diegene ook was onseker. 

Dit is omdat Harvard het eweneens 'n soort van filter stelsel wat 'n ogie op potensieel skadelike webwerwe om ons te help beskerm teen ons. Maar selfs daardie dinge is duidelik onvolmaakte, indien nie karretjie, hulself. 

So here-- as jy nuuskierig is, sal ek laat hierdie skyfies up online-- is die werklike inligting dat die teenstander het. En hy of sy was vra vir in bitcoin-- wat 'n virtuele currency-- is $ 800 VSA eintlik decrypt jou data. Ongelukkig is dit was heeltemal gefnuik. So nou sal ons kyk na iets meer politieke. En weer, die doel hier is om te begin om te dink oor hoe kan jy meer ingeligte besluite te neem. En dit is iets gebeur tans in die Verenigde Koninkryk. En dit was 'n wonderlike tagline uit 'n artikel oor hierdie. Die Verenigde Koninkryk is die bekendstelling, soos jy sal sien, 'n nuwe toesig wetsontwerp waarvolgens die Verenigde Koninkryk is stel om alles te monitor die Brits te doen vir 'n tydperk van een jaar. En dan word die data uitgegooi. Quote, unquote, "Dit sou dien 'n tirannie goed. " 

So laat ons neem 'n blik met 'n vriend van mnr Colbert se. 

[Video speel] 

Welcome, welkom, welkom na "Verlede week Tonight." Baie dankie vir die saam met ons. Ek is John Oliver. Net die tyd vir 'n vinnige recap van die week. En ons begin met die Verenigde Koninkryk, Minste Magic Kingdom aarde. 

Hierdie week, debat woed oor daar oor 'n omstrede nuwe wet. 

-Die Britse regering is onthulling nuwe toesig wette dat sy krag aansienlik uit te brei om mense se aktiwiteite aanlyn te monitor. 

-Theresa Daar dalk 'n beroep dit 'n lisensie om te funksioneer. Ander het dit 'n sogenaamde handves Snooper se, het hulle nie? 

-Goed, Hou op because-- Snooper se handves is nie die regte woorde. Dit klink soos die ooreenkoms 'n agt-jarige is gedwing om belowende om te klop teken voordat hy gaan sy ouers se slaapkamer. Dexter, teken handves hierdie Snooper of ons kan nie verantwoordelik gehou word vir wat jy kan sien. 

Hierdie wetsontwerp kan potensieel skryf in die wet 'n groot inval van privaatheid. 

Fights die planne, 'n lys van webwerwe besoek deur elke persoon in die Verenigde Koninkryk sal aangeteken word vir 'n jaar en kan aan die polisie en sekuriteit beskikbaar gestel word dienste. 

-Dit Kommunikasie data sal nie openbaar die presiese webblad wat jy gekyk, maar dit sou die terrein was dit op te wys. -OK. So dit sal nie die stoor van die presiese bladsy, net die webwerf. Maar dit is nog steeds 'n baie inligting. Byvoorbeeld, as iemand besoek orbitz.com, jy weet dat hulle dink oor die neem van 'n reis. As hulle besoek yahoo.com, wil jy weet hulle het net 'n beroerte en vergeet die woord "google". En as hulle besoek vigvoovs.com, jy weet hulle is horny en hulle B sleutel nie werk nie. 

En tog vir al die vee magte van die wetsontwerp bevat, Britse minister van binnelandse sake, Theresa May dring daarop aan dat kritici dit uit geblaas verhouding. 

'n Internet konneksie rekord is 'n rekord van die kommunikasie-diens dat 'n persoon gebruik word, nie 'n rekord elke webblad hulle aangevra. Dit is bloot die moderne ekwivalent van 'n gespesifiseerde telefoon rekening. 

-Yeah, Maar dit is nie heeltemal so gerusstellend as sy dink dit is. En ek sal jou vertel hoekom. Eerstens, ek wil nie die regering kyk na my selfoon oproepe nie. En tweedens, 'n internet op die geskiedenis is 'n bietjie anders as 'n gespesifiseerde telefoon rekening. Niemand waansinnig verwyder sy selfoon wetsontwerp elke keer as hulle klaar 'n oproep. 

[Einde afspeel] David Malan: 'n patroon se ontluikende hoe ek voorberei vir klas. Dis net om TV te kyk vir 'n week en kyk wat kom uit, duidelik. Sodat ook net van verlede nag op die "Verlede week Tonight." So laat ons begin nou praat oor 'n paar van die verdediging. Inderdaad, vir iets soos hierdie, waar die Brits is van voorneme om 'n teken van daardie soort hou van data, waar kan dit vandaan? Wel, onthou uit pset ses pset sewe en agt pset nou wat binne die virtuele envelopes-- ten minste vir HTTP-- is boodskappe wat lyk soos hierdie. En so hierdie boodskap, natuurlik, is nie net gerig word aan 'n spesifieke IP-adres, wat die regering hier en daar kon seker teken. Maar selfs binnekant van die koevert is 'n eksplisiete melding van die domein naam dit is wat besoek. En as dit is nie net streep, kan dit eintlik 'n spesifieke lÃªer naam of 'n spesifieke beeld of fliek of, weer, niks van belang is vir jou kon word beslis onderskep of al die netwerk verkeer is een of ander manier word proxy deur regeringsorganisasies bedieners, soos reeds gebeur in sommige lande, of indien daar is soort van onbekende of onbekende ooreenkomste, soos reeds in hierdie gebeur land tussen sekere groot players-- ISPs en selfoon maatskappye en die like-- en die regering. 

So snaaks story-- die laaste keer wat ek gekies het badplace.com af die bokant van my kop as 'n voorbeeld van 'n oppervlakkig webwerf, ek het nie eintlik veearts vooraf of daardie eintlik het gelei tot 'badplace.com. Gelukkig, hierdie domein naam net geparkeer, en dit nie eintlik lei tot 'n badplace.com. So ons sal voortgaan om te gebruik dat een vir nou. Maar ek vertel dat backfire kon het baie swak daardie spesifieke dag. 

So laat ons begin nou praat oor sekere verdediging en wat daar gate kan selfs in daardie. So wagwoorde is 'n soort van die go-te antwoord vir 'n baie verdedigingsmeganismes, reg? Net wagwoord beskerm, dan wat sal die teÃ«standers hou uit. Maar wat beteken dit eintlik? 

So onthou uit hacker twee, terug as jy aangepak that-- toe jy moes wagwoorde kraak in 'n file-- of selfs in die probleem die sewe, wanneer ons gee jou 'n voorbeeld SQL lÃªer van 'n paar gebruikers name en wagwoorde. Dit was die gebruikers jy gesien, en dit was die hashes dat ons versprei vir die hacker uitgawe van die probleem sit twee. En as jy wonder al hierdie tyd wat die werklike wagwoorde was, dit is wat, in werklikheid, hulle decrypt om, wat jy kon gekraak in pset twee of jy kon hulle speels uitgepluis in probleem stel sewe. Almal van hulle het 'n paar hopelik oulike betekenis hier of in New Haven. 

Maar die afhaal is dat almal van hulle, ten minste hier is redelik kort, mooi raaibare. Ek bedoel, gebaseer op die lys hier, wat dalk is die maklikste om te kraak, om uit te vind deur te skryf sagteware wat net raai en tjeks, sou jy sÃª? GEHOOR: Wagwoord. David Malan: Wagwoord se redelik goed, reg? En dit is just-- een, dit is 'n baie algemene wagwoord. Trouens, elke jaar is daar 'n lys van die mees algemene wagwoorde in die wÃªreld. En quote, unquote "password" is oor die algemeen bo die lys. Twee, dit is in 'n woordeboek. En jy weet van die probleem stel vyf dat dit nie dat hard-- dalk 'n min tyd consuming-- maar dit is nie so moeilik om te laai 'n groot woordeboek in die geheue en gebruik dit dan soort van raaiskoot en tjek alle moontlike woorde in 'n woordeboek. 

Wat anders kan wees redelik maklik om te raai en kyk? Ja? 

GEHOOR: Die herhaling van letters. 

David Malan: Die herhaling simbole en briewe. So soort soort van. So, in fact-- en ons sal nie in 'n groot gaan detail here-- al hierdie is gesout, wat jy kan onthou uit probleem die sewe se dokumentasie. Sommige van hulle het verskillende soute. Sodat jy kan eintlik verhoed dat herhaling van sekere karakters eenvoudig deur sout die wagwoorde anders. 

Maar dinge soos 12.345, dit is 'n redelik maklike ding om te raai. En eerlik, die probleem met al hierdie wagwoorde is dat hulle is almal net die gebruik van 26 moontlike karakters, of dalk 52 met 'n paar hoofletters, en dan 10 letters. Ek is nie die gebruik van enige funky karakters. Ek is nie die gebruik van nulle vir O se of diegene want ek of L's or-- indien enige van julle dink jy dat slim, maar, deur 'n nul vir 'n O in jou wagwoord or-- OK, ek sien iemand glimlag. So iemand het 'n nul vir 'n O in sy of haar wagwoord. 

Jy is nie eintlik as slim soos jy dalk dink, reg? Want as meer as een van ons is om dit te doen in die room-- en ek het hieraan skuldig is as well-- Wel, as almal se soort om dit te doen, wat beteken die teenstander het om te doen? Nulle en ene voeg net en 'n paar van die other-- Miskien fours vir H's-- om sy of haar arsenaal en net vervang diegene letters vir die woordeboek woorde. En dit is net 'n bykomende lus of iets soos dit. 

So regtig, die beste verdediging vir wagwoorde is iets baie, baie meer ewekansige oÃ«nskynlike dan is hierdie. Nou, natuurlik, dreigemente teen wagwoorde soms sluit e-pos soos dit. So ek het letterlik net hierdie het in my inbox vier dae gelede. Dit is van Brittany wat blykbaar werk by harvard.edu. En sy het my soos 'n webmail gebruiker. "Ons het net opgemerk dat jou e-pos rekening is aangemeld op 'n ander rekenaar in 'n ander plek, en jy is te verifieer jou persoonlike identiteit. " 

So tematiese in baie e-posse soos hierdie, wat voorbeelde van phishing is attacks-- P-H-I-S-H-I-N-G-- waar iemand probeer om vis te vang en kry 'n paar inligting uit jou, algemeen deur 'n e-pos soos hierdie. Maar wat is 'n paar van die prater tekens dat dit nie is nie, in werklikheid, 'n wettige e-pos van Harvard Universiteit? Wat is dit? 

So sleg grammatika, die weird hoofletters, hoe sommige briewe is gekapitaliseer op sekere plekke. Daar is 'n paar vreemde inkeping in 'n paar plekke. Wat anders? Wat is dit? Wel, dit beslis helps-- die groot geel box wat sÃª dit kan spam wees van Google, wat is beslis nuttig. 

So is daar 'n klomp van alle tekens hier. Maar die werklikheid is hierdie e-pos moet werk, reg? Dit is baie goedkoop, indien nie vry, te stuur uit honderde of duisende e-pos. En dit is nie net deur die stuur hulle uit jou eie ISP. Een van die dinge wat malware nie geneig om do-- so virusse en wurms wat per ongeluk besmet of rekenaars omdat hulle het is geskryf deur een van die adversaries-- dinge wat hulle doen is net Hughes spam. 

So, wat daar bestaan in die wÃªreld, in werklikheid, is dinge genoem botnets, wat is 'n fancy manier om te sÃª dat mense met 'n beter kodering vaardighede as die persoon wat geskryf dat karretjie weergawe van sagteware, het eintlik geskryf sagteware dat mense soos ons niksvermoedend installeer op ons rekenaars en dan begin hardloop agter die skerms, unbeknownst aan ons. En diegene malware programme omgaan. Hulle vorm 'n netwerk, 'n botnet as jy wil. En in die algemeen, die mees gesofistikeerde van teÃ«standers het 'n soort van remote control oor duisende, indien nie duisende, van rekenaars deur net die stuur 'n boodskap op die internet dat al die bots, om so te praat, in staat is om te hoor of soms versoek van 'n sentrale terrein en dan beheer kan word om te stuur spam. 

En dit spam dinge kan wees net verkoop aan die hoogste bieÃ«r. As jy 'n maatskappy is of soort van 'n maatskappy byvoordele wat nie regtig omgee oor die soort etiek van bestoking jou gebruikers maar jy wil net slaan 'n miljoen mense en hoop dat 1% van them-- wat nog 'n triviaal getal van potensiÃ«le buyers-- jy kan eintlik betaal die teÃ«standers in die vorm van swart mark van spesies uit te stuur hierdie spams via hul botnets vir jou. 

So is dit voldoende om te sÃª, dit is nie 'n besonder oortuigende e-pos. Maar selfs Harvard en Yale en dies dikwels foute maak, in daardie ons weet van 'n paar weke terug wat jy kan maak 'n skakel sÃª www.paypal.com. En dit lyk asof dit daar gaan. Maar, natuurlik, is dit eintlik nie doen nie. 

En so Harvard en Yale en ander het sekerlik skuldig oor die jare in die stuur van e-pos dat wettige is, maar hulle bevat hyperlinks in hulle nie. En ons, as mense, het opgelei deur soort van die amptenare, dikwels, om werklik net te volg skakels wat ons in 'n e-pos ontvang. Maar selfs dit is nie die beste praktyk. So as jy ooit n e-pos soos this-- en miskien is dit van Paypal of Harvard of Yale of die Bank van Amerika of die like-- jy nog nie op die skakel, selfs as dit lyk reg. Jy moet met die hand tik uit jouself dat URL. En eerlik, dit is wat die stelsel administrateur moet ons vertel word om dit te doen, sodat ons is nie om die bos gelei in om dit te doen. 

Nou, hoeveel van julle, miskien deur af te kyk op jou sitplek, het wagwoorde neergeskryf iewers? Miskien in 'n laai in jou koshuiskamer of Miskien under-- in 'n rugsak iewers? Beursie? Geen? 

GEHOOR: In 'n vuurvaste lockbox? 

David Malan: In 'n vuurvaste lockbox? OK. So dit is beter as 'n taai nota op jou monitor. So beslis, 'n paar van jy dring nie. Maar iets sÃª my wat nie noodwendig die geval nie. So hoe oor 'n makliker, meer geneig question-- Hoeveel van julle gebruik die dieselfde wagwoord vir verskeie plekke? O, OK. Nou is ons eerlik. 

Alles reg. So dit is wonderlike nuus, reg? Want as dit beteken as net een van daardie webwerwe wat jy al gebruik in die gedrang, nou die teenstander het toegang tot meer data oor jou of meer potensiÃ«le wedervaringe. So dit is 'n maklike een om te vermy. Maar hoeveel van julle het 'n mooi raaibare vergeet? Miskien nie so erg soos dit nie, maar iets? Vir 'n paar dom webwerf, reg? Dit is nie 'n hoÃ«-risiko, het nie 'n kredietkaart? Ons almal. Soos, selfs ek het wagwoorde wat is waarskynlik net 12.345, sekerlik. So nou probeer aan te meld by elke webwerf jy kan van dink met malan@harvard.edu en 12345 en kyk of dit werk. 

Maar ons doen dit ook. So hoekom? Waarom so baie van ons het Ã³f mooi maklik wagwoorde of dieselfde wagwoorde? Wat is die werklike wÃªreld Rasionaal vir hierdie? Dit is makliker, reg? As ek gesÃª het in plaas daarvan, akademies, julle ouens moet regtig wees keuse pseudo random wagwoorde wat is ten minste 16 karakters lank en het 'n kombinasie van alfabetiese letters, getalle en simbole, wat die hel gaan in staat wees om dit te doen of onthou die wagwoorde, laat staan ââvir elke en elke moontlike website? 

So, wat is 'n lewensvatbare oplossing? Wel, een van die grootste wegneemetes vandag Ook pragmaties, sou word, eerlik, om te begin met behulp van 'n soort van wagwoord bestuurder. Nou, daar is upsides en nadele van hierdie dinge ook. Dit is twee dat ons geneig om aan te beveel in CS50. 'N Mens se sogenaamde knoppie 1Password. Een genoem LastPass. En sommige van julle dalk al gebruik hierdie. Maar dit is oor die algemeen ' stuk sagteware wat nie te fasiliteer genereer groot pseudo random wagwoorde wat jy kan dalk nie onthou as 'n mens. Dit slaan die pseudo random wagwoorde in sy eie databasis, hopelik op jou plaaslike hard drive-- geÃ¯nkripteer, nog beter. En al wat jy, die mens, het om te onthou, Tipies, is 'n meester wagwoord wat waarskynlik gaan super lank te wees. En miskien is dit nie ewekansige karakters. Miskien is dit soos 'n sin of 'n kort paragraaf wat jy kan onthou en jy kan 'n dag tik keer na jou rekenaar te ontsluit. 

Sodat jy 'n groot gebruik veral wagwoord te beskerm en te enkripteer al jou ander wagwoorde. Maar nou is jy in die gewoonte van die gebruik van sagteware soos hierdie pseudo random genereer wagwoorde oor al die webwerwe jy besoek. En inderdaad, ek kan gemaklik sÃª nou, in 2015, Ek weet nie die meeste van my wagwoorde nie. Ek weet my meester wagwoord, en ek tik dat onwetend, een of meer keer 'n dag. Maar die voordeel is dat dit nou, indien enige van my een rekeninge in die gedrang, daar is geen manier iemand gaan die rekening gebruik om in 'n ander, want nie een van my wagwoorde is meer dieselfde nie. 

En beslis, niemand, selfs al het hy of sy skryf opponerende sagteware om geweld dinge brute en raai alle moontlike passwords-- die kans dat hulle gaan om kies om my 24-karakter lank wagwoorde is net so, so laag is ek net nie bekommerd oor die bedreiging nie. 

So, wat is hier die trade-off? Dit lyk wonderlik. Ek is so baie meer veilig nie. Wat is die trade-off? Ja? 

GEHOOR: Time. David Malan: Time. Dit is 'n baie makliker om te tik 12345 en ek is aangemeld in versus iets wat 24 karakters of 'n kort paragraaf. Wat anders? 

GEHOOR: As iemand breek jou hoof wagwoord. David Malan: Ja. So jy soort van verandering die bedreiging scenario. As iemand raai of syfers uit of lees die Post-it nota in jou veilige lÃªer kluis, die meester wagwoord wat jy het, Nou is alles in die gedrang waardeur dit voorheen was dalk net een rekening. Wat anders? 

GEHOOR: As jy wil enige gebruik van jou rekeninge op 'n ander toestel en julle het nie, LastPass [onhoorbaar]. 

David Malan: Ja, dis soort van 'n vangs, ook. Met hierdie gereedskap, ook, as jy nie jou rekenaar en jy is in, soos sommige kafee of jy by die huis van 'n vriend of 'n rekenaarlokaal of waar is en jy wil aan te meld by Facebook, jy hoef nie eens weet wat Facebook wagwoord is. Nou soms, kan jy versag dit deur 'n oplossing dat ons oor sal praat in net 'n oomblik genoem-faktor verifikasie twee waardeur Facebook sal jy inligting of sal 'n spesiale boodskap te stuur geÃ¯nkripteer op jou selfoon of 'n ander toestel wat jy ronddra op jou sleutelhanger met wat jy kan inteken. Maar dit is dalk irriterende as jy in die kelder van die wetenskap sentrum of elders op die kampus hier New Haven se. Jy kan nie 'n sein. En so dit is nie noodwendig oplossing. So dit is regtig 'n trade-off. Maar wat ek wil julle aanmoedig om do-- as jy gaan na die webwerf CS50 se ons eintlik gereÃ«l vir die eerste van hierdie maatskappye vir 'n webwerf lisensie, om so te praat nie, want al CS50 studente so jy hoef nie die $ 30 betaal of so wat dit normaalweg kos. Vir Mac en Windows, kan jy check out 1Password gratis op die webwerf CS50 se en ons sal jou haak met dit. 

Besef ook dat sommige van hierdie tools-- insluitend LastPass in een van sy forms-- is wolk-gebaseerde, soos Colbert sÃª, wat jou wagwoorde beteken is encryptedly gestoor in die wolk. Die idee is daar is dat jy kan gaan na 'n paar random persoon of rekenaar vriend se en teken in jou Facebook rekening of die wil omdat jy eerste gaan na lastpass.com, toegang tot jou wagwoord en tik dit dan in. Maar wat is die bedreiging scenario is daar? As jy die stoor dinge in die wolk, en jy is toegang tot die webwerf op 'n onbekende rekenaar, wat kan jou vriend doen aan jou of jou toetsaanslagen? OK. Ek sal met die hand bevordering gly hier op uit. 

Keylogger, reg? Nog 'n tipe van malware is 'n keylogger, wat is net 'n program wat eintlik logs alles wat jy tik. So is daar ook, is dit waarskynlik beter om het 'n paar sekondÃªre toestel soos hierdie. 

So, wat is twee-faktor verifikasie? Soos die naam aandui, is dit jy nie een nie, maar twee faktore waarmee te kontroleer om 'n webwerf. So eerder as om net te 'n wagwoord, jy 'n paar ander tweede faktor. Nou, wat algemeen, een, faktor is iets wat jy weet. So iets soort in jou geestesoog, wat jou wagwoord wat jy gememoriseer. Maar twee nie iets anders dat jy weet of gememoriseer maar iets wat jy fisies het. Die idee hier is jou bedreiging nie meer 'n paar random persoon kan wees op die internet wat net raai of uit te vind jou wagwoord. Hy of sy het fisiese te hÃª toegang tot iets wat jy het, wat is nog steeds moontlik en nog steeds, miskien, al die meer fisies dreig. Maar dit is ten minste 'n verskillende soort van bedreiging. Dit is nie 'n miljoen mense naamlose daar probeer om jou data te kry. Nou is dit 'n baie spesifieke persoon, miskien, dat as dit is 'n probleem, dit is Nog 'n probleem geheel en al, as well. 

Sodat die algemeen bestaan vir selfone of ander toestelle. En, in werklikheid, Yale net gerol dit uit die middel van die semester sulke dat dit geen invloed op mense in hierdie kamer. Maar diÃ© van julle volgende saam in New Haven weet dat as jy wil inteken in jou yale.net ID, bykomend tot die tik jou gebruiker naam en wagwoord, jy dan gevra met hierdie. En, byvoorbeeld, is dit 'n kiekie Ek het vanoggend toe ek aangeteken in my Yale rekening. En stuur dit vir my die ekwivalent van 'n SMS-boodskap aan my selfoon. Maar in werklikheid, het ek 'n app afgelaai by voorbaat dat Yale nou versprei, en ek het nou net tik in die kode wat hulle stuur na my selfoon. 

Maar om duidelik te wees, die onderstebo hiervan is dat nou, selfs as iemand figure uit my Yale wagwoord, ek is veilig. Dit is nie genoeg nie. Dit is net een van die belangrikste, maar ek moet twee tot my rekening te ontsluit. Maar wat is die negatiewe kant, miskien, van Yale se stelsel? En ons sal jou laat weet Yale. Wat is die nadeel? Wat is dit? As jy nog nie 'n sel diens of as jy nie Wi-Fi toegang omdat jy net in 'n kelder of iets, jy dalk nie in staat wees om die boodskap te kry. Gelukkig, in hierdie spesifieke geval, dit sal gebruik Wi-Fi of iets anders, wat werk rondom dit. Maar 'n moontlike scenario. Wat anders? Jy kan jou selfoon verloor. Jy moet net nie dit het. Die battery sterf. Ek bedoel, daar is 'n aantal irriterende scenario maar moontlike scenario's wat kan gebeur wat maak jy die besluit betreur. En die ergste moontlike uitkoms, eerlik, dan sou wees vir gebruikers skakel hierdie heeltemal. So is daar altyd gaan om hierdie spanning wees. En jy het om uit te vind vir jouself as 'n gebruiker soort van 'n lieflike plek. En om dit te doen, neem 'n paar van konkrete voorstelle. As jy Google Gmail of Google Apps te gebruik, weet dat as jy hier gaan na hierdie URL, jy kan twee-faktor in staat stel verifikasie. Google noem dit 2-stap-verifikasie. En jy kliek Setup, en dan het jy presies dit. Dit is 'n goeie ding om te doen, veral hierdie dae, want, te danke aan koekies, jy is aangeteken byna die hele dag lank. So jy selde te tik jou wagwoord in elk geval. So jy kan dit een keer 'n doen week, een keer 'n maand, keer 'n dag, en dit is minder van 'n groot doen as in die verlede. 

Facebook, ook het hierdie. As jy 'n bietjie te los met tikwerk Facebook wagwoord in vriende se rekenaars, ten minste in staat stel twee-faktor verifikasie sodat daardie vriend, selfs as hy of sy 'n aanslag logger, hulle nie kan kry in jou rekening. Wel, hoekom is dit? Kon hulle nie net teken die kode Ek het getik in op my selfoon dat Facebook vir my gestuur het? GEHOOR: [onhoorbaar]. David Malan: Ja. Die goed ontwerpte sagteware sal diegene kodes verander wat op jou selfoon gestuur word elke paar sekondes of elke keer en sodat, ja, selfs indien hy of sy figure uit wat jou kode is, jy nog steeds veilig, want dit sal verval. En dit is wat dit lyk graag op die webwerf Facebook se. 

Maar daar is 'n ander benadering heeltemal. So as daardie soorte van trade-offs is nie besonder aanloklik, 'n algemene beginsel in sekuriteit sou wees, goed, net ten minste oudit dinge. Moenie soort sit jou kop in die sand en net nooit weet as of wanneer jy is in die gedrang of aangeval. Ten minste stel 'n paar meganisme wat lig jy dadelik as iets gebeur het onreÃ«lmatige sodat jy ten minste smal die venster van die tyd wat iemand kan doen skade. 

En deur hierdie, ek bedoel die following-- op Facebook, byvoorbeeld, jy kan draai op wat hulle noem login waarskuwings. En nou, ek het aangeskakel email login waarskuwings maar nie kennisgewings. En wat dit beteken is dat indien Facebook kennisgewings Ek het aangeteken in 'n nuwe computer-- soos ek nie 'n koekie te hÃª, dit is 'n ander IP-adres, dis 'n ander soort computer-- hulle sal, in hierdie scenario, stuur my 'n e-sÃª, hey, David. Lyk soos jy aangemeld van 'n onbekende rekenaar, net FYI. 

En nou is my rekening kan wees gedrang kom, of my irriterende vriend kon gewees het aan te meld by my rekening nou plaas dinge op my nuus voer of die wil. Maar ten minste die bedrag van die tyd waarmee ek onkundig van daardie is super, super smal. En ek kan hopelik reageer. So al drie van hierdie, sou ek sÃª, is baie goeie dinge om te doen. Wat is 'n paar dreigemente wat is 'n bietjie harder vir ons eindgebruikers te beskerm teen? Is daar iemand wat weet wat sessie kaping is? Dit is 'n meer tegniese bedreiging, maar baie vertroud nou dat ons het gedoen pset ses en sewe en nou agt. So onthou dat wanneer jy die verkeer te stuur oor die internet, 'n paar dinge gebeur. Laat my gaan voort en meld in C9 of CS50.io. Gee my net 'n oomblik om meld in my jHarvard rekening. 

GEHOOR: Wat is jou wagwoord. 

David Malan: 12.345. Alles reg. En hier is, weet dat as ek gaan voor en versoek om 'n web page-- en in die tussentyd, laat my dit doen. Laat my oop Chrome se Inspekteur blad en my netwerk verkeer. En laat my gaan na http://facebook.com en duidelik hierdie. Eintlik, weet jy wat? Kom ons gaan na 'n meer bekende one-- https://finance.cs50.net en druk Enter en teken die netwerk verkeer hier. 

So sien hier, as ek kyk in my netwerk verkeer, reaksie headers-- laat hier gaan. Reaksie headers-- hier. So het die heel eerste versoek dat ek gestuur, wat vir die standaard bladsy, dit het gereageer met hierdie reaksie headers. En ons het gepraat oor dinge soos plek. Soos plek beteken lei na login.php. Maar een ding wat ons nie praat 'n groot bedrag oor was lyne soos hierdie. So dit is binnekant van die virtuele koevert wat gestuur CS50 Finance-- die weergawe wat jy ouens geskryf het, too-- om 'n gebruiker se skootrekenaar of rekenaar. En dit is die opstel van 'n koekie. Maar wat is 'n koekie? Dink terug aan ons bespreking van PHP. Ja? Ja, dit is 'n manier van vertel die webwerf wat jy nog geteken nie. Maar hoe werk dit? Wel, op 'n besoek finance.cs50.net, dit lyk soos die bediener dat ons geÃ¯mplementeer is die opstel van 'n koekie. En dat koekie is konvensioneel noem PHPSESSID sessie ID. En jy kan dink dit soos 'n virtuele handstamp by 'n klub of, soos, 'n pretpark, 'n stukkie rooi ink wat gaan op jou hand sodat die volgende keer wat jy besoek die hek, het jy eenvoudig wys jou hand, en die bouncer by die deur sal jou laat slaag of glad nie op grond van die stempel. 

So het die daaropvolgende versoek dat my browser sends-- as ek gaan na die volgende versoek en jy kyk na die versoek kop, jy meer dinge raaksien. Maar die belangrikste is dit gemerkte gedeelte here-- nie ingestel koekie maar koekie. En as ek flip deur elkeen van daardie daaropvolgende HTTP versoeke, elke keer as ek sou 'n hand te sien uitgebrei met daardie presies dieselfde PHPSESSID, wat is om te sÃª dit is die mechanism-- hierdie groot pseudo random number-- dat 'n bediener gebruik om die illusie in stand te hou PHP se $ _SESSION voorwerp, waarin jy kan dinge soos ID die gebruiker se stoor of wat in hul shopping cart of enige aantal ander stukke van die data. 

So, wat is die implikasie? Wel, wat as dit data is nie geÃ¯nkripteer? En, in werklikheid, is ons vir die beste praktyk enkripteer pretty much elkeen van CS50 se webtuistes hierdie dae. Maar dit is baie algemeen hierdie dae vir webwerwe steeds HTTPS om nie op die begin van die URL. Hulle is net HTTP, kolon, streep streep. So, wat is die implikasie is daar? Dit beteken eenvoudig dat al hierdie headers is binnekant van die virtuele koevert. En enigiemand wat snuif die lug of fisies afsnitte wat fisies pakkie kan binne kyk en sien wat dit koekie is. 

En so sessie kaping is bloot 'n tegniek dat 'n teÃ«stander gebruik om data te snuffel in die lug of op 'n paar bedraad netwerk, kyk binne hierdie koevert, en sien, o. Ek sien dat jou koekie is 2kleu wat ook al. Laat my gaan voort en maak 'n afskrif van jou hand stempel en nou begin besoek Facebook of Gmail of wat ook al myself en net bied die presies dieselfde handstamp. En die werklikheid is, blaaiers en bedieners werklik is dat naÃ¯ef. As die bediener sien dat dieselfde koekie, sy doel in die lewe moet wees om te sÃª, o, wat moet Dawid, wat net aangeteken in 'n bietjie gelede. Laat my dit dieselfde gebruiker te wys, vermoedelik, David se posbus of Facebook boodskappe of enigiets anders waarin jou aangeteken. 

En die enigste verweer teen dit is net enkripteer alles binnekant van die koevert. En gelukkig, 'n baie webwerwe soos Facebook en Google en dies doen wat deesdae. Maar iemand wat jy nie verlaat perfek, perfek kwesbaar. En een van die dinge wat jy kan do-- en een van die mooi eienskappe, eerlik, van 1Password, die sagteware Ek vroeÃ«r genoem, is as jy dit op te installeer jou Mac of PC, sagteware, Behalwe die stoor van jou wagwoorde, sal ook waarsku as jy ooit probeer aan te meld by 'n webwerf wat is gaan jou gebruikersnaam stuur wagwoord ongeÃ«nkripteerde en in die helder, om so te praat. Alles reg. So sessie kaping kom neer op dit. Maar daar is ander hierdie manier wat HTTP headers gebruik kan word om voordeel te trek van ons. En dit is nog soort van 'n probleem. Dit is regtig net 'n pragtige verskoning om hier te sit Cookie Monster. Maar Verizon en AT & T en ander het 'n baie kritiek 'n paar maande terug vir die spuit, unbeknownst aan gebruikers aanvanklik, 'n ekstra HTTP kop. 

So diÃ© van julle wat het Verizon Wireless of AT & T sel selfone, en jy is 'n besoek webwerwe via jou selfoon, unbeknownst aan jou, na jou HTTP versoeke te verlaat Chrome of Safari of wat ook al op jou selfoon, gaan om Verizon of AT & T se router, hulle vermetel vir 'n geruime tyd gewees spuit 'n kop wat lyk soos this-- 'n belangrike waarde pair waar die sleutel is net X-UIDH vir 'n unieke identifiseerder kop en dan 'n paar groot ewekansige waarde. En hulle dit doen dat hulle kan uniek identifiseer al jou web verkeer na mense wat jou HTTP-versoek. 

Nou, hoekom sou Verizon en AT & T en die wil wil jy uniek identifiseer al die webwerwe wat jy besoek? 

GEHOOR: Beter diens. 

David Malan: Better-- no. Dit is 'n goeie gedagte, maar dit is nie vir 'n beter diens. Wat anders? Advertensies, reg? Sodat hulle kan bou 'n advertensie netwerk, vermoedelik, waardeur selfs as jy het af koekies het, selfs as jy 'n spesiale het sagteware op jou selfoon wat hou jou in incognito mode-- ha. Daar is geen incognito af wanneer die man in die middle-- letterlik Verizon of AT & T-- is spuit addisionele data oor wat jy het geen beheer, en daardeur die onthulling wie jy is om daardie gevolglike webwerf weer en weer. 

So daar is maniere om te kies uit hierdie. Maar ook hier is iets wat eerlik, die enigste manier om terug te stoot op hierdie te verlaat die draer geheel en al, dit afskakel as hulle selfs toelaat om, of, soos gebeur het in hierdie geval, maak nogal 'n bietjie van 'n ophef aanlyn sulke dat die maatskappye eintlik reageer. Dit is ook, is net nog ' adorable geleentheid om dit te wys. 

En laat ons 'n blik op, laat ons sÃª een of twee finale bedreigings. So het ons gepraat oor CS50 Finansies hier. So jy sal sien dat ons hierdie oulike bietjie ikoon op hier die login knoppie. Wat beteken dit as ek plaas gebruik hierdie ikoon? So voor, agter. Voor, agter. Wat beteken nÃ¡ beteken? Dit is veilig. Dit is wat ek wil jou om te dink. Maar ironies genoeg, is dit veilig want ons het HTTPS. 

Maar dit is hoe maklik dit is om te verander iets op 'n webwerf, reg? Jy weet almal 'n bietjie van HTML en CSS nou. En in die feit, dit is redelik maklik aan- en as jy het it-- nie doen om die ikoon te verander. Maar dit is ook 'wat maatskappye het ons geleer om te doen. So hier is 'n kiekie van die Bank van die webwerf Amerika se vanoggend. En sien, een, hulle is my gerus te stel wat dit is 'n veilige teken in op top links. En hulle het ook 'n hangslot ikoon op die knoppie, wat wat vir my beteken, die eindgebruiker? 

Waarlik niks, reg? Wat maak saak is die feit dat daar die groot groen URL up top met HTTPS. Maar as ons zoom in op hierdie, is net soos ek, weet 'n bietjie van HTML en 'n bietjie van CSS, en gesÃª: hey, my webwerf is veilig. Soos iemand kan 'n slot te sit en die woord veilige sign-on op hul webwerf. En dit is werklik beteken niks. Wat beteken iets is iets soos hierdie, waar jy sien https: // die feit dat Bank van Amerika het hierdie korporasie groot groen bar, terwyl CS50 nie, beteken net hulle betaal 'n paar honderd dollars meer bykomende hÃª verifikasie gedoen van hul definisieversamelings in die VSA, sodat blaaier wat voldoen om hierdie standaard sal ook wys ons 'n bietjie meer as dit. 

So sal ons dinge laat, skrik jy 'n bietjie meer voor lank. Maar op Woensdag, ons sal bygestaan ââword deur Scaz van Yale vir 'n blik op kunsmatige intelligensie en wat ons kan doen met hierdie masjiene. Ons sal jy sien die volgende keer.