[Přehrávání hudby] 

DAVID Malan: Toto je CS50, a to je začátek týdne 10. A možná budete pamatovat obrázek z několika týdnů zpět když jsme hovořili o internet a jak je to vlastně prováděna fyzicky. A možná připomenout, že je tu vlastně celá parta kabelů stejně jako bezdrátové Technologie, které propojují všechny uzly nebo směrovače a další tyto technologie na internetu. A hodně z toho je underseas. 

No, to ukáže, že ti, underseas kabely jsou trochu cíle. A dnešní přednáška je zcela o bezpečnost, a to nejen hrozby, které jsme všichni tvář fyzicky, ale i prakticky, a také, směrem k zadní konec Dnes, některé z obrany že my jako uživatelé mohou skutečně dát na místo. 

Ale nejprve jeden z prvních a možná nejvíce fyzické threat-- [VIDEOPŘEHRÁVÁNÍ] -Could Russia být plánování útok na podmořských kabelů že připojení k internetu globální? 

-Russian Lodě a ponorky číhá v blízkosti podmořských kabelů které nesou téměř všechny světové internetu. 

-The Celý internet je unášení těchto kabelů. 

-První Ze všeho, co je internet dělá pod vodou? Naposledy jsem zkontroloval, že nejsem měl dostat můj počítač mokrý. Za druhé, pokud se mě ptáte, jak se internet cestuje z kontinentu na kontinent, Já bych si řekl, satelity nebo lasery, nebo, upřímně řečeno, Asi bych Jen řekl, že internet. 

A co se stalo do oblak? Bylo mi řečeno, tam byl mrak. Měj na paměti? Hele, nechme to v cloudu. Bylo to, jako byl internet pára informací, které obíhá Zemi, a počítač byl jako pánve že vyhloubil, co jste potřebovali. 

Ale ukazuje se, internet je vlastně pod vodou protože tyto kabely vedou více než 95% každodenních internetové komunikace. A zpravodajské obavy, že americké v době napětí nebo konfliktu, Rusko by mohlo uchýlit k jejich oddělování. To by byl největší narušení vaší internetové služby od vašeho souseda v patře dát heslo na jeho Wi-Fi připojení na internet. DOBŘE? Zkuste jméno svého psa. [END Přehrávání] DAVID Malan: Předtím, než jsme se obrátit na některé z více virtuálních hrozeb, pár oznámení. Takže naše přátelům CrimsonEMS jsou v současné době náboru pro nové EMTs, Lékařské techniky. A to je ve skutečnosti něco obzvláště blízká mému srdci. 

Kdysi dávno, jsem se Vzpomínám si v Ikea krátce po promoci, ve skutečnosti. A když jsem se ukončení obchod, to malý chlapec, který byl v kočárku začal měnit doslova modré. A on byl dusí na nějakém kusu potravin, který měl patrně dostal uvízl v krku. 

A jeho matka byla panikařit. Rodiče kolem nich byly panikařit. A dokonce i já, který měl trochu známosti EMS jen prostřednictvím kamarádů, úplně ztuhl. A bylo to jen díky něčemu jako 15-letý plavčíka, kteří přejel a vlastně věděli, co dělat instinktivně a volala o pomoc a vlastně vytáhl chlapec z jeho kočárku a vlastně oslovil situaci. 

A pro mě to byl zlom. A to bylo to, že v moment doba, kdy jsem se rozhodl, sakra, Musím mít svůj akt dohromady a skutečně vědět, jak reagovat na tyto typy situací. A tak jsem se dostal licenci Před lety jako EMT. A přes absolvent školy jsem jezdit na MIT ambulance na určitou dobu, jakož jak si udržoval svou licenci od roku. 

A vlastně až do dnešního dne, všichni personálu CS50 tady v Cambridge jsou skutečně certifikován v KPR, jakož i, z podobných důvodů. Takže pokud jste vůbec zájem o to, je tu nikdy nebude mít dost času na den, aby se na něco nového. Ale pokud chcete, Nový rok rozlišení, se spojit tyto lidi zde nebo zvážit natáhl k Červený kříž pro certifikaci, buď zde nebo v New Haven, stejně. 

Takže CS50 poslední oběd je tento pátek. Takže pokud jste ještě se k nám přidal, nebo pokud máte a chcete ještě jednou, jdou na internetových stránkách CS50, aby vyplňte formulář zde. Znát také, že naši přátelé v Yale profesor Scassellati, se zabývá výrobou AI Umělé inteligence, série pro nás že začne debut Tento týden na videu. Takže to zejména pokud máte zájem při sledování závěrečný projekt nějak vztahující se k umělé inteligenci, zpracování přirozeného jazyka, dokonce i robotika, si uvědomit, že tyto budou být nádherný inspirací pro to. 

A jen proto, aby vám ukázku z toho, tady je Scaz sám. 

[VIDEOPŘEHRÁVÁNÍ] 

-Jeden Z opravdu skvělé věcí o počítačové vědy je, že se i jen pár týdnů studia, budete být schopni porozumět mnoho z inteligentních artefaktů a zařízení, které obývají náš moderní svět. V tomto krátkém videu série, jdeme se podívat na věci, jako je Netflix, jak je schopen navrhnout a doporučit filmy že bych rád, jak to je, že Siri schopen odpovídat na otázky, které mám, jak to je, že Facebook dokáže rozpoznat svou tvář a automaticky označit mě na fotografii, nebo jak Google je schopen vybudovat vůz, který jede na jeho vlastní. 

Takže doufám, že mi připojit se k této krátké série videí, série CS50 AI. Myslím, že zjistíte, že víte, mnohem víc, než jste si mysleli, že ano. [END Přehrávání] DAVID Malan: Takže ty se objeví na Webové stránky kurzu se koncem tohoto týdne. Zůstaňte naladěni. A do té doby, pár oznámení o tom, co je před námi. Tak jsme tady. To je v našem přednáška o bezpečnosti. Příští středu, Scaz a Andy, Naše hlavní učení kolega v New Haven, tu bude podívat se na umělá inteligence sama o sobě pro pohled na Výpočet pro communication-- jak vybudovat systémy, které používají Jazyk pro komunikaci od Elizy, pokud jste obeznámeni s tím software od dávných dob, do Siri více nedávno, a Watson, která vás možná víte z ohrožení a podobně. 

Pak se příští pondělí, my jsme ne tady v Cambridge. Jsme v New Havenu na vteřinu podívejte se na umělé inteligence s Scaz a company-- AI oponenti ve hrách. Takže pokud jste někdy hrál proti Počítač v některých videohře nebo mobilní hra nebo podobně, budeme mluvit o tom, jak přesně that-- stavět soupeře pro hry, jak reprezentovat věci pod pokličku pomocí stromů od her jako tic-tac-toe šachům ke skutečnému Modern videohry, stejně. 

Je smutné, kvíz jeden je krátce poté. Více informací o že o CS50 je webové stránky později tento týden. A naše Závěrečná přednáška na Yale bude se stát, že pátek po kvízu. A naše Závěrečná přednáška na Harvardu je potom v pondělí, podle povahy plánování. 

A tak, pokud jde o milnících, Kromě pset osm z tohoto týdne; zpráva o stavu, která bude rychlá zdravý rozum kontrola mezi vámi a vaše vyučování kolegy; Hackathon, který bude tady v Cambridge pro studenty z New Havenu a Cambridge podobně. My se postaráme o vše doprava z New Haven. Provádění závěrečný projekt bude splatná. A pak pro oba areály tam bude CS50 spravedlivý která nám umožní přijmout pohled na a radosti v tom, co všichni dosáhnout. 

Ve skutečnosti, myslel jsem, že to bude dobrý moment upozornit na tomto zařízení tu, kterou jsme použili pro nějaké množství času tady, což je pěkný dotykový displej. A skutečně, v loňském Letos jsme měli 0.99 $ app že jsme stáhli z aplikace Windows uložit s cílem získat na obrazovce. 

Ale upřímně řečeno, bylo to velmi přeplněná. To nám umožnilo čerpat na obrazovky, ale tam byly, stejně jako, spousta ikon sem. Uživatelské rozhraní bylo dost špatné. Pokud byste chtěli změnit některá nastavení, tam bylo jen tolik zatracené kliknutí. A uživatel interface-- nebo, přesněji, uživatel experience-- bylo docela suboptimální, zejména použití v přednáška prostředí. 

A tak jsme se natáhla na náš přítel ve společnosti Microsoft, Bjorn, kdo je ve skutečnosti sledoval spolu s CS50 on-line. A jako jeho závěrečný projekt, v podstatě, že ne velmi vlídně trvat nějaký vstup od nás, že přesně se funkce a uživatelské zkušenosti chceme. A on pak šel o budování pro Windows tato aplikace zde která nám umožňuje draw-- oops-- a kouzlo na the-- wow. Děkuji. Chcete-li nakreslit a kouzlo na obrazovce zde s velmi minimální uživatelským rozhraním. 

Takže jste mě viděl, snad, klepněte na položku Nahoru tady někdy tak mírně, kde jsme může podtrhnout věci v červené barvě. Můžeme přepínat a teď přejít na bílý text zde. Chceme-li skutečně smazat obrazovky, můžeme to udělat. A když jsme vlastně přednost bílé plátno, můžeme to udělat. Tak to dělá tak strašně málo záměrné a dělá to dobře. Tak, že jsem futz, doufejme, daleko méně tento rok ve třídě. 

A díky, taky, aby jeho chráněnec mám dnes na sobě trochu prsten. To je Benjamin, který byl internovat s Bjorn letos v létě. Takže je to trochu prsten. Je to trochu větší, než mé obvyklé kruhu. Ale přes trochu vytáčení na boční tady můžu vlastně pohyb vlevo a vpravo sklíčka, vpřed a zpět, a vlastně předem věci bezdrátově tak, že člověk, nemám jít dál zpátky ke mezerníku zde. A za druhé, já nemusím mít jeden z těch hloupých clickers a upoutat pozornost tím, že drží mě za ruku ta zatracená věc, kterou po celou dobu aby stačí kliknout. A jistě, v čase, bude hardware takhle dostat super, super menší. 

Takže rozhodně neváhejte myslet mimo krabici a dělat věci a vytvářet věci, které nemají ani Existují zatím pro závěrečných prací. Bez dalších okolků, pohled na to, co vás čeká jak se ponoříte do finále Projekty na CS50 Hackathon 

[VIDEOPŘEHRÁVÁNÍ] 

[Přehrávání hudby] 

[Chrápání] [END Přehrávání] DAVID Malan: Dobře. Takže se Stephen Colbert klipu že jsem ukázal před chvílí byl vlastně v televizi, jen před několika dny. A ve skutečnosti, několik dalších klipů ukážeme dnes jsou neuvěřitelně nedávno. A ve skutečnosti, že mluví k Skutečnost, že tolik technologie a, upřímně řečeno, spousta nápadů jsme mluvili o v CS50 Opravdu jsou všudypřítomné. A jeden z cílů Kurz je jistě vybavit vás s technickými schopnostmi, že můžete skutečně řešit problémy programově, ale dva, tak, že můžete skutečně dělat lepší rozhodnutí a činit informovanější rozhodnutí. A ve skutečnosti, tematické celém stiskněte tlačítko a on-line videa a články v těchto dnech je jen děsivý nedorozumění nebo nedostatkem pochopení toho, jak technologie práce, zejména mezi politiky. 

A tak opravdu, jen v trochu jsme to se podívat na jeden z těch detailů, také. Ale doslova poslední noc jsem seděl v Bertucci je, místní povolení Italian místo. A já jsem skočil na jejich Wi-Fi připojení na internet. A já jsem velice uklidnil vidět, že je to bezpečné. A věděl jsem, že proto, že říká, že tady "Secure internetový portál" Jakmile se na obrazovce přišel. Takže to bylo trochu výzva že přijde v Mac OS nebo v systému Windows při připojení k síť Wi-Fi poprvé. A musel jsem číst prostřednictvím svých podmínek a podmínky, a nakonec klepněte na tlačítko OK. A pak jsem byla ponechána probíhat. 

Takže začněme znovu promyslet, co všechno to znamená, a už ne brát za udělena, co lidé říkají nám, když jsme se setkávají s různými technologiemi. Tak jeden, co to znamená, že jedná se o bezpečný internetový portál? Co by mohlo Bertucci je ze mě ujišťuje o? Diváků: Pakety odeslané sem a tam jsou šifrována. DAVID Malan: Dobrý. Pakety jsou poslány zpět a tam jsou šifrovány. Je to ve skutečnosti tomu tak? Pokud by tomu tak bylo, co bych musíte udělat, nebo to, co bych musel vědět? No, měli byste vidět něco ikona zámku v Mac OS nebo Windows říká, že tam je opravdu někteří šifrování nebo míchat děje. Ale dříve, než můžete použít zašifrované portal nebo Wi-Fi připojení, co musíš obvykle psát? Heslo. Vím, že žádný takový heslo, ani jsem typ takové heslo. Prostě jsem klikl na tlačítko OK. Tak to je naprosto nesmyslné. To není bezpečný internetový portál. To je 100% nejistá internetový portál a. Neexistuje absolutně žádný šifrování děje o, a vše, co je dělat to bezpečné je to, že tři-slovo fráze Na obrazovce se tam. 

Takže to nic neznamená, nutně, technologicky. A trochu víc znepokojující, pokud jste ve skutečnosti přečíst podmínky, které jsou překvapivě čitelné, Byl tohle-- "vy pochopit, že si vyhrazujeme právo přihlásit nebo monitoru návštěvnosti zajistit, aby tyto podmínky jsou dodržovány. " Tak to je trochu strašidelné, pokud je Bertucci je sledování mé internetového provozu. Ale většina jakákoliv dohoda, která jste slepě klikli prostřednictvím má jistě řekl, že předtím. 

Takže to, co dělá, že ve skutečnosti znamenat technologicky? Takže pokud tam je nějaký strašidelný kluk nebo žena v zádech kdo je, stejně jako, monitoring veškerý internetový provoz, jak se on nebo ona přístup že informace přesně? Jaké jsou technologické znamená, přes který že person-- nebo protivník více generally-- může být při pohledu na naši provoz? 

No, pokud tam žádné šifrování, co spoustu věcí, které by mohly očichat, abych tak řekl, nějak odhalit ve vzduchu. Co by se podíváte na? To jo? 

Diváků: Pakety odesílání z počítače do routeru? 

DAVID Malan: Jo. Pakety odesílány z počítač ke směrovači. Takže si možná pamatujete, když jsme byli v New Haven, jsme míjeli ty obálky, fyzicky, v celém publiku představovat Údaje děje přes internet. A určitě, když jsme házeli je přes publika bezdrátově k dosažení svého cíle, může kdokoliv nějak chytit ho a udělat kopii a skutečně vidět, co je Uvnitř tohoto krytí. 

A samozřejmě, co je uvnitř těchto obálek Je celá řada věcí, včetně adresy IP že se snažíte přístup nebo název hostitele, jako www.harvard.edu nebo yale.edu, že se snažíte přistupovat nebo něco úplně jiného. Mimoto se cesta, too-- znáte z pset šesti že uvnitř HTTP požadavků jsou si lomítko something.html. Takže pokud jste na návštěvě konkrétní stránku, stažením konkrétní snímek nebo video, všechny tyto informace je uvnitř tohoto paketu. A tak tam někdo Bertucci může být při pohledu na tom, že velmi stejná data. No, jaké jsou některé další hrozby v tomto směru dbát na před vámi jen začít přijímat jako fakt co někdo jako Bertucci se vám prostě řekne? No, to bylo article-- sérii článků , která vyšla jen pár měsíci. Všechny vztek v těchto dnech jsou Tyto hypermoderní chytré televizory. Co je to chytrý televizor, pokud jste jsem o nich neslyšel, nebo mít jeden doma? Diváků: připojení k internetu? DAVID Malan: Jo, připojení na internet. Takže obecně, chytrá televize je TV s připojení k internetu a opravdu mizerný uživatel rozhraní, které umožňuje to těžší, aby skutečně používat web protože budete muset použít, stejně jako, up, dolů, doleva a doprava nebo něco na dálkovém ovladači jen pro přístup k věci, které jsou tak mnohem více snadno provést na přenosném počítači. 

Ale více znepokojující o Smart TV, a televizory Samsung v tomto konkrétním případě, bylo to, že televizory Samsung a další v těchto dnech přijít s určitým hardwarem vytvořit to, co oni tvrdí, je lepší uživatelské rozhraní pro vás. Takže člověk, můžete si promluvit s některé z vašich televizorů v těchto dnech, ne na rozdíl od Siri, nebo některý z ostatní ekvivalenty na mobilních telefonech. Takže můžete říct příkazy, jako je změna kanálu, zvýšit hlasitost, vypnout, nebo podobně. Ale co je implikace z toho logicky? Pokud máte televizor ve vašem obývacím místnosti nebo TV na úpatí postele usnout na, co je implikace? To jo? 

Diváků: Tam by mohlo být něco, jdou prostřednictvím mechanismu odhalit vaši řeč. DAVID Malan: Jo. Publikum: To by mohlo zasílají přes internet. Pokud je to nezašifrované, pak je to zranitelný. DAVID Malan: Opravdu. Pokud jste si vybudovali mikrofon do televizoru a jeho účel v životě je podle návrhu, poslouchat na vás a reagovat na vás, to jistě bude poslouchal vše, co říci, a pak překládat, že pro Některé vložené instrukce. Ale úlovek je, že většina z nich Televizory nejsou dokonale inteligentnímu sami. Jsou velmi závislé na že připojení k internetu. 

Tolik jako Siri, kdy budete mluvit do telefonu, obratem posílá, že data napříč internet na servery Apple, pak dostane zpět odpověď, doslova je televizor Samsung a jejich ekvivalenty posílání vše, co jste říká ve vašem obývacím pokoji nebo ložnice na svých serverech jen proto, aby odhalit říkal, zapnout televizi nebo vypnout televizor? A Bůh ví, co jinak by mohl být pronesen. Nyní, tam je několik způsobů, zmírnit to, že jo? Stejně jako to, co dělá a co Siri dělá Google a jiní nejméně bránit proti že riziko, že jsou poslech úplně všechno? Musí být aktivován tím, že říká něco, jako, hej, Siri, nebo Google nebo hi podobně, nebo OK, satelitní nebo podobně. 

Ale všichni víme, že ti, výrazy druh sát, že jo? Jako bych byl jen sitting-- ve skutečnosti v poslední době Byl jsem v úředních hodinách na Yaleově univerzitě, si myslím, Jason nebo jeden z TFs stále křičí, jako, hej, Siri, hej, Siri a dělal můj telefon Dělat věci, protože byl příliš proximální do mého skutečného telefonu. Ale opak je pravdou, taky. Někdy ty věci prostě kopat dál, protože to je nedokonalé. A skutečně, přírodní Jazyk processing-- porozumění formulaci o lidských a pak dělá něco na základě to-- je jistě nedokonalá. 

Nyní, ještě hůře, některé ze jste mohli vidět nebo mají televizi, kde si můžete udělat hloupý nebo new-age věci, jako je tento Pro změnu kanálu doleva nebo Tato položka umožňuje změnit kanály vpravo nebo snížit hlasitost nebo zvýšit hlasitost. Ale co to znamená má televizor? Kamera ukázal na vás na všech možných okolností. 

A ve skutečnosti, že brouhaha kolem Samsung Televizory, pro které trvalo nějakou Flack je, že pokud si přečtete podmínky a Podmínky TV-- věci určitě nikdy nečetl při vybalování váš televizor pro první time-- vložené tam byl malý disclaimer říkat ekvivalent, A Je možná nebudete chtít mít osobní konverzace v přední části tohoto televizoru. A to je to, co to redukuje na. 

Ale neměli byste ani musí být řečeno, že. Měli byste být schopni vyvodit z reality že mikrofon a kamera doslova ukázal na mě celou dobu Možná, že je více špatné než užitku. A upřímně řečeno, já říkám poněkud pokrytecky. Doslova jsem se, kromě těch kamer, Mám maličký fotoaparát zde V mém notebooku. Mám ještě jeden tady. Mám v mém mobil na obou stranách. Tak jinak dal jsem to špatně, oni může mi stále sledovat a poslouchat mě. 

A to vše by mohlo být děje po celou dobu. Takže to, co ti brání můj iPhone nebo Android telefon od Dělat to po celou dobu? Jak víme, že Apple a někteří strašidelný osoba u společnosti Google, neposlouchají do Tento velmi konverzace přes telefon nebo konverzace Mám doma nebo v práci? 

Diváků: Vzhledem k tomu, naše životy nejsou tak zajímavé. 

DAVID Malan: Protože náš životy nejsou tak zajímavé. To je ve skutečnosti platná odpověď. Pokud nejsme starosti o konkrétní hrozbě, tam je druh kdo stará aspekt toho. Trochu starý, abych se nebude opravdu být cílem. Ale určitě dalo. 

A tak i když jste vidět některé sýrový věci na televizi a filmy, jako je, oh, pojďme zapnout mřížku a-- jako Batman dělá to hodně, ve skutečnosti, a vlastně může vidět Gotham, co je děje prostřednictvím mobilních telefonů lidí nebo podobně. Něco z toho je trochu futuristický, to ale my jsme skoro tam v těchto dnech. 

Téměř každý z nás jsou chodí s GPS transpondéry, které je říkat Apple a Google a všichni ostatní, které chce vědět, kde jsme ve světě. Máme mikrofon. Máme fotoaparát. Říkáme věci jako snapchat a další aplikace, všichni víme, všechny jejich telefonní čísla, všechny jejich e-mailové adresy. A tak znovu, jeden z takeaways dnes, doufejme, že je alespoň pauzy trochu před slepě říkat, OK pokud chcete pohodlí snapchat vědět, kdo všechny své přátele je. Ale naopak, teď snapchat ví, že všichni víte a všechny malé poznámky byste mohli učinily v kontaktech. 

Takže to byl včas jednou taky. Několik měsíců zpět, snapchat sám nebyl ohrožen. Ale tam bylo nějaké aplikace třetích stran že usnadňuje šetřit zaskočí A úlovek byl že tato služba třetí strany byl sám ohrožen, zčásti proto, že služba je snapchat podporoval funkci, která pravděpodobně by neměly mít, což umožnilo to archivace třetí stranou. 

A problém byl, že archiv o, stejně jako, 90.000 zaskočí, myslím, byly nakonec ohrožena. A tak může trvat nějakou útěchu v věci, jako snapchat je prchavý, právo? Ty mají sedm sekund dívat na že nevhodné zpráva nebo poznámka, a pak zmizí. Ale jeden, většina z vás Pravděpodobně jste přišel na to, jak vzít screenshoty teď, což je nejvíce snadný způsob, jak obejít to. Ale dva, není nic zastavením společnost nebo osoba, je na internetu od zachycení, že údaje, případně, také. 

Tak to bylo doslova nebo dva jen den před. To byl pěkný článek titulek na webové stránky online. "Epic Fail-- Power Worm Ransomware Náhodně Ničí Oběti dat během šifrování. " Takže další vytrhl z titulky druh věcí zde. Takže můžete mít slyšel o malware, který je škodlivý software-- tak špatný software že lidé s příliš mnoho volného času napsat. A někdy to prostě dělá hloupé věci, jako je mazat soubory nebo odesílání nevyžádané pošty nebo podobně. 

Ale někdy, a stále více, je to složitější, že jo? Všichni víte, jak se fušovat do šifrování. A Caesar a Vigenere nejsou mimořádně bezpečné, ale je tu ty ostatní, jistě, které jsou sofistikovanější. A tak to, co to protivník udělal byl napsal kus malware které nějakým způsobem napadl banda počítačů lidí. Ale on byl trochu idiot a napsal kočárek verzi tohoto malwaru tak, že když on nebo ona realizován code-- oh, my jsme stále hodně of-- líto. Dostáváme hodně hity na mikrofon. DOBŘE. 

Tak v čem je problém, který on nebo ona napsal nějaký špatný kód. A tak se generované pseudonáhodně šifrovacího klíče s níž k zašifrování Údaje něčí zlomyslně, a pak náhodně hodil pryč šifrovací klíč. Takže účinek této malware nebyl, jak bylo zamýšleno, výkupné něčích údajů šifrování jeho nebo její pevný disk a pak očekával $ 800 v USA na oplátku pro šifrovací klíč, na kterém místě oběť mohl dešifrovat jeho nebo její údaje. Spíše špatný chlap prostě šifrované všechny údaje na svém pevném disku, náhodně vypouští šifrovací klíč, a tu žádné peníze z něj. Ale to také znamená, že oběť je skutečně obětí, protože teď on nebo ona nelze obnovit některý z údajů, ledaže mají ve skutečnosti trochu ze staré školy backup to. 

Takže i zde je jakýsi reality že budete číst o těchto dnech. A jak můžete bránit proti tomu? No, to je celek může červů, ne slovní hříčka určena, o virů a červů a podobně. A tam je jistě software se kterými můžete bránit. Ale lepší než, že je prostě být chytrý o tom. 

Ve skutečnosti, I haven't-- to je jedna z Tyto dělat, co říkám, ne jako já dělat věci, perhaps-- Nemám opravdu použity antivirový software v letech protože pokud jste celkově víte, co hledat, můžete bránit proti většině vše na vlastní pěst. A skutečně, zde na včasné Harvard-- tam byla chyba nebo problém minulý týden, kde Harvard je jednoznačně, jako je, monitorování hodně síťového provozu. A všechny z vás dokonce navštívíte webové stránky CS50 je Možná se dostali upozornění přísloví že není možné navštívit tuto webovou stránku. Není to bezpečné. Ale pokud jste se pokusili na návštěvě Google nebo jiné stránky, Také ty byly také nejistá. 

To proto, že Harvard, také, má nějaký filtračním systémem že je vedení pozor na potenciálně škodlivé webové stránky pomáhá chránit nás před námi. Ale i ty věci jsou zjevně nedokonalá, ne-li buggy, samy o sobě. 

Takže here-- pokud jste zvědaví, budu ponechat tyto snímky do online-- je aktuální informace že protivník dal. A on nebo ona byla žádá v bitcoin-- což je virtuální currency-- $ 800 USA skutečně dešifrovat data. Bohužel, toto byl zcela zmařen. Takže teď se podíváme, něco více politické. A opět, cílem je zde začít přemýšlet o tom, jak můžete činit informovanější rozhodnutí. A to je něco, se děje v současné době ve Velké Británii. A to byl skvělý slogan z článku o tom. Velká Británie je zavádí, as uvidíte, nové dohled Návrh zákona, kterým je Spojené království navrhuje sledovat vše Britové udělat pro dobu jednoho roku. A pak jsou data vyhozen. Citace, konec citátu, "to by sloužit tyranii dobře. " 

Takže pojďme se podívat s přítel pan Colbert je. 

[VIDEOPŘEHRÁVÁNÍ] 

-Welcome, Vítejte, vítejte na "Minulý týden dnes večer." Děkuji moc se k nám připojil. Jsem John Oliver. Jen čas pro rychlé rekapitulaci v týdnu. A začneme s Velkou Británií, Země nejméně Magic Kingdom. 

Tento týden, debata zuří více než tam přes kontroverzní nového zákona. 

-The Britská vláda je Odhalení nové zákony dozoru že výrazně rozšíří svou moc aby sledovala činnost lidí online. 

-Theresa Květen tam zavolá to povolení k provozu. Jiní říkali, že si charta snooper to, ne oni? 

No, vydrž protože-- slídil je Charta není správná fráze. To zní jako by dohoda o osm-rok-starý je donucen podepsat slibné zaklepat předtím, než vstoupí do ložnice svých rodičů. Dexter, podepsat listinu této slídil, nebo nemůžeme nést odpovědnost za to, co můžete vidět. 

Tento návrh zákona by mohl potenciálně zapsat do práva obrovský zásah do soukromí. 

-Under Plány, seznam webových stránek navštívil každou osobu ve Velké Británii bude zaznamenán po dobu jednoho roku a mohly by dány k dispozici policii a bezpečnost služby. 

-To Komunikace Údaje by se neodhalí Přesný webová stránka, kterou jste se podíval na, ale to by ukázat, místo to bylo dál. -DOBŘE. Takže to nebude ukládat Přesný strana, jen webové stránky. Ale to je ještě hodně informací. Například, pokud se někdo navštívil orbitz.com, byste vědět, že byly uvažujete o výlet. Pokud navštívili Yahoo.com, měli byste vědí, že právě prodělal cévní mozkovou příhodu a zapomněl slovo "Google". A když oni navštívili vigvoovs.com, věděl bys, že jsou nadržený a jejich B klíč nefunguje. 

A přesto pro všechny zametání pohání návrh zákona obsahuje, Britský ministr vnitra Theresa May trvá na tom, že kritici foukané ven nepřiměřený. 

-an Připojení k internetu záznam je zmínka o komunikační služby že osoba používá, není záznam každé webové stránky, které jste přistupovali. Je to prostě moderní ekvivalent z rozpisu účtu za telefon. 

Jo, ale to není zas až tak uklidňující, jak si myslí, že je. A ti řeknu proč. Za prvé, já nechci vládu při pohledu na můj telefon volá jeden. A za druhé, což internet historii prohlížení je trochu odlišný od položkový telefonní účet. Nikdo zběsile odstraní svůj telefon účet pokaždé, když ukončení hovoru. 

[END Přehrávání] DAVID Malan: Vzor se rozvíjející jak jsem se připravit na třídu. Je to jen se dívat na televizi na týden a uvidíme, co vyjde, jasně. Tak to také bylo jen od poslední v noci "Minulý týden dnes večer." Tak pojďme začít mluvit teď o některých obrany. Ve skutečnosti, po něčem takhle, kde se Britové se navrhuje vést evidenci tohoto druhu dat, kde by mohlo být přichází? No, převezme zpět od pset šesti, pset sedmi a osmi pset nyní že uvnitř těch virtuální envelopes-- alespoň pro HTTP-- jsou zprávy, které vypadají jako tento. A tak tato zpráva, Samozřejmě, není jen adresované konkrétní adresu IP, který vláda tady nebo tam by jistě mohla log. Ale i uvnitř, které je obálka explicitní zmínka o názvu domény to je právě navštívili. A pokud to není jen lomítko, ale ve skutečnosti může být konkrétní název souboru nebo konkrétní obrázek nebo film nebo, znovu, nic Dalo by se zájem zcela jistě zachytili, pokud všechny síťového provozu je nějak je zastupována prostřednictvím vládních serverů, jak se již děje v některých země, nebo v případě, že jsou jakési neznámé nebo nezveřejněné dohody, jak se stalo již v tomto země mezi některých velkých players-- ISP a telefonní společnosti a jako-- a vláda. 

Takže legrační story-- naposledy jsem si vybral badplace.com z vrcholu mé hlavy jako příklad povrchní webové stránky, já jsem vlastně veterinář předem, zda je či není to ve skutečnosti vedly k badplace.com. Naštěstí, tato doména Jméno je jen zaparkovaný, a to není ve skutečnosti vést k badplace.com. Proto budeme i nadále použijte že jeden teď. Ale já jsem řekl, že by mohl jsem samozápalům velmi špatně, že zvláštní den. 

Tak pojďme začít teď mluvit o některých obrany a to, co tam díry může být dokonce v těch. Takže hesla je tak trochu z go-odpověď pro spoustu obranných mechanismů, je to tak? Jen chránit heslem, pak která se bude držet protivníky ven. Ale co to vlastně znamená? 

Takže připomínají od hackera dva, zpět, pokud řešit that-- když jste měli bezva hesla v file-- nebo dokonce v problému set sedm, když jsme vám vzorek SQL Soubor některých uživatelských jmen a hesel. Jednalo se o uživatelská jména vám Viděl, a tito byli hash že jsme rozdali pro hacker vydání problému set dva. A pokud jste přemýšlel, to všechno Doba, jaké jsou skutečné hesla byly, To je to, co ve skutečnosti oni dešifrovat k, který jste mohli popraskané v pset dvou, nebo jste mohli hravě přišel jim v problému nastavit sedm. Všechny z nich mají jednu snad roztomilý význam zde, nebo v New Haven. 

Ale stánek s jídlem je, že všechny z nich, alespoň tu, jsou docela krátké, pěkný guessable. Mám na mysli, na základě seznamu tady, které jsou možná nejjednodušší crack, přijít na to, psaním software, který jen hádá a kontroly, byste řekl? Diváků: Password. DAVID Malan: Heslo je docela dobře, ne? A je to jen-- jednoho, je to velmi časté hesla. Ve skutečnosti, každý rok tam je seznam nejčastější hesla na světě. A citát, konec citátu "password" je obecně na vrcholu tohoto seznamu. Za druhé, je to ve slovníku. A víte, od problému set five, že to není že hard-- by mohl být málo času consuming-- ale to není tak těžké zatížení velký slovník do paměti a pak ji použít k druh odhadu a kontrola všechny možné slova ve slovníku. 

Co jiného by mohlo být docela snadné uhodnout a kontrolovat? To jo? 

Diváků: Opakování písmen. 

DAVID Malan: Opakování symbolů a písmen. Tak trochu druh. Takže v fact-- a nepůjdeme do skvělé detail here-- všichni tito byli solené, které si možná pamatujete z Problém set dokumentaci Sedmé. Některé z nich mají různé soli. Takže byste mohli skutečně vyhnuli opakování určitými znaky jednoduše solením hesla jinak. 

Ale podobné věci 12345, to je docela jednoduchá věc uhodnout. A upřímně řečeno, problém se všemi z těchto hesel je to, že všichni jen pomocí 26 možných znaků, nebo možná 52 s některými velkými písmeny, a pak se 10 dopisů. Nejsem použití jakékoli funky znaky. Nejsem používat nuly na O je nebo ty neboť jsem je nebo L's nebo-- pokud někdo z vás myslíš, že je chytrý, ale tím, že mající nulu pro O v heslo nebo-- OK, viděl jsem někoho úsměv. Takže někdo má nulu O ve své heslem. 

Nejste vlastně být jako chytrý, jak byste si mohli myslet, že jo? Vzhledem k tomu, je-li více než jeden z nám dělá toto v room-- a byl jsem vinu za tento stav jako well-- dobře, když každý druh je, jak to udělat, to, co dělá protivník má dělat? Stačí přidat nuly a jedničky a pár other-- Možná Fours pro H's-- k jeho nebo její Arsenal a jen nahradit ty, písmen pro slovníku slov. A je to jen další smyčka nebo něco takového. 

Takže opravdu, nejlepší obrana hesel je něco mnohem, mnohem víc random-zdánlivě pak tyto. Teď, samozřejmě, hrozby proti hesel někdy obsahují e-maily, jako je to. Tak jsem se doslova dostal tento v mé e-mailové schránky před čtyřmi dny. To je z Bretaně, který zřejmě pracuje v harvard.edu. A ona mi napsala jako webmail uživatele. "Právě jsme si všiml, že váš e-mail byl přihlášen účet do jiného počítače na jiném místě, a jste k ověření Váš osobní identity. " 

Takže tematické v mnoha e-mailů, jako je to, což jsou příklady phishingu attacks-- P-H-I-S-H-I-N-G-- kde někdo se snaží na ryby a získat některé Informace z vás, obvykle prostřednictvím e-mailu, jako je tento. Ale co jsou některé z kontrolkou známky, že tomu tak není, ve skutečnosti, legitimní e-maily z Harvard University? Co je to? 

Tak špatný gramatika se divný kapitalizace, jak některé dopisy jsou vydělával na určitých místech. Tam je nějaké divné odsazení v několika místech. Co dalšího? Co je to? No, to určitě helps-- velký žlutý rámeček že říká, že to může být spam od Google, což je jistě užitečná. 

Takže je tu spousta neklamné známky zde. Ale realita je tito e-maily musí pracovat, ne? Je to docela levné, pokud není zdarma, poslat out stovky či tisíce e-mailů. A není to jen tím, že pošle je z vašeho vlastního ISP. Jedna z věcí, které malware má tendenci do-- takže viry a červy, které náhodně infikovat počítače, nebo proto, že jsem napsal adversaries-- jeden z co dělají, je jen chrlit spam. 

Takže to, co tam neexistuje ve světě, ve skutečnosti, Jsou věci, zvané botnety, což je ozdobný způsob, jak říkat že lidé s lepším kódováním dovednosti, než ten, kdo napsal, že buggy verzi softwaru, skutečně napsal software že lidé jako my unsuspectingly nainstalovat na našich počítačích a pak se rozběhnou za scény, bez vědomí nám. A ti, malware programy vzájemně se stýkat. Tvoří síť, botnet pokud chcete. A obecně, nejvíce důmyslný protivníci má nějaký dálkový ovladač tisíce, ne-li desítky tisíc, počítačů podle posílání out zprávy na internetu že všechny tyto roboty, abych tak řekl, jsou schopni slyšet nebo občas Požadavek z nějakého centrálního místa a poté může být řízen k rozesílání spamu. 

A tyto věci mohou být spam právě prodal za nejvyšší nabídku. Pokud jste společnost nebo jakýsi okrajový společnosti že není opravdu starat o druh etiky spamování své uživatele ale jen chcete hit out milion lidí a doufám, že 1% them-- který je ještě netriviální číslo potenciálního buyers-- můžete skutečně platit tyto protivníky v druhu černém trhu svého druhu vyslat tyto spamy prostřednictvím svých botnetů pro vás. 

Takže stačí říct, že to není Zvláště přesvědčivé e-mail. Ale i Harvard a Yale a podobně se často chybují v tom, že víme, od několika týdnů back, které můžete udělat odkaz říkají www.paypal.com. A vypadá to, že to jde tam. Ale samozřejmě to, není vlastně dělat to. 

A tak Harvard a Yale, a jiní mají Určitě se dopustil v průběhu let zasílání e-maily, že jsou legitimní, ale obsahují hypertextové odkazy v nich. A my, jako lidé, byli cvičil podle druhu úředníků, poměrně často, ve skutečnosti stačí následovat odkazy, které dostáváme v e-mailu. Ale ani to není nejlepší praxí. Takže pokud někdy e-mail jako tohle-- a možná je to z Paypal nebo Harvard nebo Yale či Bank of America nebo jako-- stále neměli klikněte odkaz, i když to vypadá legitimní. Ruční měli zadat na to, že URL sami. A upřímně řečeno, to je to, co správce systému by měla být nám říká k tomu, že nejsme napálil do dělat. 

A teď, kolik z vás, možná při pohledu dolů na své místo, se hesla napsáno někde dole? Možná, že v zásuvce ve svém kolejním pokoji nebo Možná under-- v batohu někam? Peněženka? Žádný? 

Publikum: v ohnivzdorné skříňce? 

DAVID Malan: v ohnivzdorné skříňce? DOBŘE. Takže je to lepší než lepicí poznámky na vašem monitoru. Tak jistě, některé budete trvat na tom není. Ale něco mi říká, že je není nutně případ. Tak jak je to jednodušší, s větší pravděpodobností question-- Jak mnozí z vás používáte stejné heslo pro více stránek? Oh, OK. Teď jsme upřímná. 

Dobře. Tak to je báječná zpráva, že jo? Protože jestli to znamená, že pokud jen jeden z těch, stránky, které všichni používáte, je ohrožena, Nyní protivník má přístup k více datových o vás nebo více potenciálních využije. Tak to je snadný, aby se zabránilo. Ale kolik z vás mají hezká guessable heslo? Možná ne tak zlé, jak to, ale něco? Pro některé stupidní místě, že jo? Není to vysoce rizikové, nemá kreditní kartu? Každý z nás. Stejně jako, dokonce mám hesla jsou pravděpodobně jen 12.345, jistě. Takže teď zkuste se přihlásit do každé webové stránky si můžete myslet s malan@harvard.edu a 12.345, a uvidíme, jestli to funguje. 

Ale my jsme to udělat taky. Tak proč? Proč tak mnoho z nás mají buď dost jednoduché hesla nebo stejná hesla? Co je to real-svět Důvodem pro tento? Je to jednodušší, že jo? Kdybych řekl místo toho, akademického, vy by měla být opravdu výběru pseudonáhodné hesla, která jsou dlouhé nejméně 16 znaků a mají kombinace písmen abecedy, číslice a symboly, kdo to sakra děje aby byl schopen to udělat, nebo Pamatuji si ty hesla, natož pro každého a všechny možné webové stránky? 

Takže to, co je to schůdné řešení? No, jeden z Největší takeaways dnes, Také pragmaticky, by je, upřímně, na začátek používat nějaký správce hesel. Nyní máme k dispozici a Upsides stinné stránky těchto věcí, taky. Jedná se o dvě, které jsme mají tendenci doporučit v CS50. Něčí tzv tlačítko 1Password. Jedna se jmenuje LastPass. A někteří z vás možná nich využívat již. Ale je to obecně kus softwaru, který má usnadnit vytváření big pseudonáhodná hesla, které jste nemůže pamatovat jako člověk. Ukládá ty pseudonáhodné Hesla ve své vlastní databáze, doufejme, že na lokálním pevném drive-- šifrované, ještě lépe. A vše, co je člověk, mít na paměti, typicky, je jedním hlavním heslem, které Pravděpodobně bude super dlouhé. A možná, že to není náhodné znaky. Možná je to, jako, trestu či krátký odstavec, který můžete pamatovat a můžete zadat jednou denně k odemknutí počítače. 

Takže použít zvlášť velké heslo pro ochranu a šifrování všechny další hesla. Ale teď jste v zvyk pomocí softwaru takhle ke generování pseudonáhodné hesla přes všechny webové stránky navštívíte. A skutečně, mohu pohodlně říkají teď, v roce 2015, Nevím většinu moje hesla ještě. Vím, že moje hlavní heslo, I a typ, který, nevědomky, jednou nebo vícekrát denně. Ale Výhodou je, že nyní, pokud existuje jednoho z mých účtů je ohrožena, neexistuje žádný způsob, jak někdo bude používat tento účet dostat se do dalšího, protože žádný z moje hesla jsou stejné ještě. 

A už vůbec nikdo, i když nebo ona píše kontradiktorní software na hrubou sílu věci a Asi všechny možné passwords-- šance, že se bude na zvolit své 24-znaků dlouhých hesel je jen tak, tak nízko, že jsem prostě není obavy o té hrozbě ještě. 

Takže to, co je tady obchod-off? To se zdá úžasné. Já jsem mnohem víc v bezpečí. Co je trade-off? To jo? 

Diváků: Time. DAVID Malan: Čas. Je to mnohem snazší zadejte 12345 a já jsem přihlášen ve srovnání s něčím, co je k dispozici 24 znaků nebo krátký odstavec. Co dalšího? 

Diváků: Pokud někdo poruší Hlavní heslo. DAVID Malan: Jo. Takže trochu mění hrozba scénář. Pokud někdo odhady či údaje , nebo čte Post-it poznámky ve vaší zabezpečené úschovně, hlavní heslo máte, Nyní vše, co je ohrožena přičemž to dříve byl možná jen jeden účet. Co dalšího? 

Diváků: Chcete-li použít některý vaše účty na jiném zařízení a nemáte LastPass [neslyšitelných]. 

DAVID Malan: Jo, to je druh úlovku, taky. S těmito nástroji, také, je-li nemáte počítač a jste v, stejně jako některé kavárně nebo jste v domě svého přítele, nebo počítačové učebně nebo kdekoli a chcete pro přihlášení do Facebook, nemusíte ani vědět, co Facebook vaše heslo. Teď někdy, můžete zmírnit to tím, že se roztok že budeme hovořit o za chvíli volal dvoufaktorová autentizace čímž Facebook bude text, který jste nebo zašle speciální šifrovanou zprávu do telefonu, nebo nějaký jiný zařízení, které nosíte v okolí na vaší klíčenkou s které se můžete přihlásit. Ale to je, snad, otravné, když jste v suterénu science center nebo jinde tady v New Havenu kampusu. Ty nemusí mít signál. A tak to nemusí být nutně řešením. Tak to je opravdu trade-off. Ale to, co bych vám, abyste do-- pokud jdete na webových stránkách CS50 je, jsme vlastně zařídil první tyto společnosti pro licence vázané na místo, abych tak řekl, pro všechny studenty CS50 takže nemusíte zaplatit $ třicet nebo tak, že normálně stojí. Pro počítače Mac a Windows, můžete zkontrolovat 1Password zdarma na webových stránkách CS50 je, a my háček vás s tím. 

Uvědomte si také, že někteří Tyto tools-- včetně LastPass v jednom ze svých forms-- je cloud-based, as Colbert říká, což znamená, že vaše hesla jsou encryptedly uložena v cloudu. Myšlenka je, že můžete jít do nějaký náhodný člověk nebo počítačový kamaráda a přihlaste se do svého Facebook účet nebo podobně protože jste poprvé jít do lastpass.com, přístup ke své heslo, a pak ji zadejte. Ale co je tam scénář ohrožení? Pokud jste ukládání věcí v cloudu, a vy jste přístupu k této webové stránky na nějakém neznámém počítači, co by váš přítel dělat na vás nebo vaše úhozů? DOBŘE. Budu ručně postupující klouže tady na ven. 

Keylogger, že jo? Dalším typem malware je keylogger, který je jen program, který ve skutečnosti přihlásí vše, co napíšete. Takže tam taky, je to asi lepší nějaké sekundární zařízení, jako je tento. 

Takže to, co je dvoufaktorová autentizace? Jak již název napovídá, je to máte ne jeden, ale dva faktory, s nimiž autentizovat na internetových stránkách. Takže spíše než použití jen heslo, Máte nějaký jiný druhý faktor. Nyní, že obecně je, jeden, faktorem je něco, co znáte. Takže něco, co druh v Tvá mysl oko, což je heslo, které jste si do paměti. Ale dva, ne něco jiného že víte, nebo jste nazpaměť ale něco, co máte fyzicky. Nápad tady je Váš hrozba už ne by mohl být nějaký náhodný osoba na internetu, kteří mohou jen hádat nebo zjistit heslo. On nebo ona musí mít fyzický Přístup na něco, co máte, který je ještě možný a přesto, možná, o to více fyzicky ohrožující. Ale je to přinejmenším jiný druh ohrožení. Není to milion bezejmenných lidí tam se snaží dostat na vaše data. Teď je to velmi specifický člověk, snad, že v případě, že je to problém, který je další problém úplně, stejně. 

Tak, že obecně existuje pro telefony nebo jiná zařízení. A ve skutečnosti, Yale jen válcované na to mid-semestr jako že to nemá vliv na lidé v této místnosti. Ale ti z vás, po spolu v New Haven vědí, že pokud byste se přihlásit do vašeho yale.net ID, Kromě zadáním uživatelské jméno a heslo, budete vyzváni, pak s tím. A, například, to je screenshot Vzal jsem dnes ráno když jsem přihlášen do svého účtu Yale. A to mi pošle ekvivalent textové zprávy na můj telefon. Ale ve skutečnosti, Stáhnul jsem si aplikaci předem, že Yale se distribuuje, a já musím teď stačí napsat v kód, který poslali na můj telefon. 

Ale aby bylo jasno se vzhůru je to, že nyní, i kdyby někdo zjistí, můj Yale heslo, že jsem v bezpečí. To nestačí. To je pouze jeden klíč, ale já Potřebuji dva odemknout můj účet. Ale co je to nevýhoda, Možná, systému Yale? A dáme vědět Yale. Co je to nevýhoda? Co je to? Pokud nemáte mobilní službu nebo pokud jste nemají Wi-Fi připojení k internetu, protože jsi jen ve sklepě nebo tak něco, vy nemusí být schopen dostat zprávu. Naštěstí, v tomto konkrétním případě, to bude používat připojení Wi-Fi nebo něco jiného, který pracuje kolem něj. Ale možný scénář. Co dalšího? Ty by mohly přijít o svůj telefon. Vy prostě nemají to. Vybití baterie. Myslím, že je tu řada nepříjemných scénáře ale možné scénáře, které by se mohlo stát že se budete litovat tohoto rozhodnutí. A ten nejhorší možný výsledek, upřímně řečeno, poté by bylo pro uživatele zakázat to úplně. Takže je tu vždy bude být toto napětí. A musíte najít sami jako uživatelské jakési terče. A k tomu, vzít pár konkrétních návrhů. Pokud používáte Google Gmail nebo Google Apps, vím, že když jdete na tuto adresu URL tady, můžete povolit dvoufaktorové ověření. Google nazývá ověření 2-krok. A klepněte na tlačítko Nastavení a pak děláte přesně to. To je dobrá věc, zvláště těchto dnech, protože díky cookies jste přihlášeni v téměř celý den. Takže se jen zřídka muset zadejte heslo tak jako tak. Takže můžete to udělat jednou týden, jednou za měsíc, jednou za den, a to je méně velký zabývají než v minulosti. 

Facebook, také, má to. Pokud jste trochu příliš volně s psaní váš Facebook heslo do přátel " počítače, přinejmenším umožnit dvoufaktorovou autentizace tak, že přátel i když on nebo ona má Stisknutí klávesy logger, se nemohou dostat do vašeho účtu. Tak proč je to? Nepodařilo se jim stačí se přihlásit Kód jsem psát v na můj telefon že Facebook poslal ke mně? Diváků: [Neslyšitelné]. DAVID Malan: Jo. Dobře navržený software změní tyto kódy , které jsou odesílány do vašeho telefonu každých několik sekund nebo pokaždé, a tak, že jo, dokonce pokud on nebo ona zjistí, co váš kód je, že jste pořád bezpečné, protože to bude mít vypršela. A to je to, co to vypadá Líbí se mi na internetových stránkách Facebook. 

Ale je tu jiný přístup úplně. Takže pokud tyto druhy kompromisů nejsou příliš vyzývavý, obecnou zásadou v oblasti bezpečnosti by se být, no, jen minimálně auditu věci. Nepoužívejte druh dát hlavu v písek a prostě nikdy nevíte, zda a kdy jste byl ohrožen nebo zaútočil. Alespoň nastavit nějaký mechanismus která vás informuje okamžitě kdyby se něco stalo anomální tak, aby alespoň úzký Okno času během které někdo může udělat škodu. 

A to, myslím following-- na Facebooku, například, se můžete obrátit na to, co říkají přihlašovací výstrahy. A právě teď, jsem umožnil e-mail Přihlášení upozornění, ale ne oznámení. A co to znamená, že v případě Facebooku oznámení Já jsem přihlášen do nového computer-- jako já nemám cookie, Je to jiný IP adresy, je to jiný druh computer-- budou v tomto scénáři, poslat mi e-mail řekl, hej, Davide. Vypadá to, že jste se přihlásili z neznámé počítač, jen FYI. 

A teď můj účet by mohl být ohrožena, nebo můj přítel obtěžující by mohl být přihlášení do můj účet nyní vysílání věci na mém novinek nebo podobně. Ale přinejmenším množství času s nimiž jsem neznalý o tom je super, super úzký. A mohu snad reagovat. A tak všichni tři z nich, udělal bych to řekněme, jsou velmi dobré věci dělat. Jaké jsou některé hrozby že jsou o něco těžší, pro nás koncovým uživatelům na ochranu proti? Ví někdo, co únos je? Je to víc technický hrozba, ale velmi dobře, že teď máme udělal pset šest a sedm a nyní osm. Takže připomenout, že když pošlete provoz přes internet, pár věcí se stalo. Nech mě jít dopředu a přihlášení do c9 nebo CS50.io. Dej mi jen jeden okamžik, aby přihlásit do svého jHarvard účtu. 

Diváků: Jaká je vaše heslo. 

DAVID Malan: 12.345. Dobře. A tady, vím, že když půjdu dopředu a požádat o web page-- a do té doby, nech mě to udělat. Dovolte mi, abych otevřít Chrome Inspector Záložka a můj síťového provozu. A nech mě jít do http://facebook.com a vymazat to. Vlastně, víš co? Pojďme se známější one-- https://finance.cs50.net a klepněte na tlačítko Enter a log provoz zde síť. 

Takže tady si všimnout, pokud se podívám v mém síťového provozu, Reakce headers-- pojďme tady. Odpověď headers-- zde. Takže úplně první žádost, které jsem poslal, který byl pro výchozí stránku, to reagovala Tyto hlavičky odpovědí. A my jsme mluvili o věci, jako je umístění. Stejně jako, umístění znamená, přesměrovat na login.php. Ale jedna věc, kterou bychom neměli mluvit obrovský Částka asi bylo linky, jako je tato. Takže to je uvnitř Virtuální obálka, která je poslal z CS50 Finance-- verze vy napsal, too-- na notebooku uživatele nebo stolní počítač. A to je nastavení cookie. Ale co je to cookie? Vzpomeňte si na naši diskusi o PHP. To jo? Jo, je to způsob vyprávění webové stránky, které jste stále přihlášeni. Ale jak to funguje? No, při návštěvě finance.cs50.net, vypadá to, že tento server že jsme zavedli, je nastavení cookie. A to je konvenčně cookie volejte PHPSESSID ID relace. A můžete myslet na to, jako když virtuální razítko v klubu, nebo, jako, zábavní park, kousek z červeným inkoustem, který jde na ruku takže příště návštěvě brána, jednoduše ukázat svou ruku, a vyhazovač u dveří vám umožní projít nebo vůbec ne na základě tohoto razítka. 

Tak následné Žádosti, že můj prohlížeč sends-- když půjdu na další žádosti a se podíváte na záhlaví požadavku, si všimnete, víc věcí. Ale nejdůležitější je to zvýrazněné část here-- není nastavena cookie, ale cookie. A když jsem listovat každého z těchto následné požadavky HTTP, pokaždé, když uvidí ruku rozšiřuje se, že přesně stejnou PHPSESSID, což znamená, toto je mechanism-- tento velký pseudorandom number--, že Server používá k udržení iluzi z PHP $ _SESSION objektu, do kterého můžete ukládat věci, jako je ID uživatele nebo to, co je v jejich nákupním košíku, nebo libovolný počet dalších kusů dat. 

Takže co je implikace? No, co když data nejsou šifrována? A, ve skutečnosti jsme pro nejlepší Praxe šifrování docela hodně každý z webových stránek CS50 je v těchto dnech. Ale je to velmi časté v těchto dnů pro webové stránky ještě nemít na HTTPS začátek URL. Jsou to jen HTTP, dvojtečka, lomítko lomítko. Takže to, co je tam důsledek? To jednoduše znamená, že všechny tyto záhlaví jsou uvnitř tohoto virtuálního obálky. A každý, kdo čichá vzduch nebo fyzicky zachytí tento paket fyzicky se podívat dovnitř a vidět co to je cookie. 

A tak únos je jednoduše technikou že protivník použije čichat dat ve vzduchu, nebo na nějaké pevné sítě, podívat dovnitř této obálka, a vidět, oh. Vidím, že váš cookie je 2kleu cokoliv. Nech mě jít dál a dělat kopii vašeho ruky razítka a nyní začínají navštěvovat Facebook nebo Gmail nebo co já a právě představujeme přesně stejnou razítko. A realita je, prohlížeče a Servery jsou skutečně tak naivní. Pokud server vidí, že stejný cookie, jeho účel v životě by mělo být říci, oh, že musí být David, který právě přihlášen před chvílí. Dovolte mi ukažte tento stejného uživatele, Lze předpokládat, že Davidův Doručená pošta nebo Facebook zprávy nebo cokoliv jiného do které váš přihlášen. 

A jediná obrana proti to je jen šifrování vše uvnitř obálky. A naštěstí, mnoho stránek líbí Facebook a Google a podobně dělají, že v dnešní době. Ale každý, které nemají nechat dokonale, naprosto zranitelný. A jedna z věcí, které můžete do-- a jeden z hezkých vlastností, upřímně řečeno, of 1Password, software Jsem již zmínil, je-li jej nainstalovat na vašem Mac nebo PC, software, kromě ukládání hesla, bude také upozorní, že jste někdy zkusit přihlášení do webové stránky, která je chystá poslat své uživatelské jméno a heslo nešifrované a v jasné, abych tak řekl. Dobře. Takže únos se scvrkává na to. Ale je tu ta druhá Způsob, jakým HTTP hlavičky může být použit pro využít nás. A je to stále trochu problém. To je opravdu jen rozkošný Omluvte dát do netvor Cookie zde. Ale Verizon a AT & T a jiní vzal hodně ostré kritiky před pár měsíci pro vstřikování, bez vědomí uživatele zpočátku, navíc HTTP hlavičky. 

Takže ti z vás, kteří měli Verizon Wireless nebo AT & T buňka telefony, a vy jste navštívili webové stránky prostřednictvím telefonu, unbeknownst na vás, po vašem HTTP požaduje opustit Chrome nebo Safari nebo co v telefonu, jděte na Verizon nebo AT & T router, oni troufale po určitou dobu byly vstřikování záhlaví, která vypadá jako tohle-- dvojici klíč-hodnota kde klíč je právě X-UIDH pro jedinečný identifikační kód, záhlaví a pak některé velké náhodnou hodnotu. A oni to dělat tak že oni mohou jedinečně identifikovat všechny vaše webového provozu na lidé dostávají svůj požadavek HTTP. 

A teď, proč by Verizon a AT & T a podobně chci jednoznačně identifikovat vás všechny webové stránky jste na návštěvě? 

Diváků: Lepší zákaznický servis. 

DAVID Malan: Better-- ne. Je to dobrá myšlenka, ale je to Není lepší služby zákazníkům. Co dalšího? Reklama, že jo? Tak oni mohou vybudovat reklamní síť, pravděpodobně, přičemž i kdyby vás jste vypnuli cookies i když máte zvláštní software v telefonu která vás udrží v inkognito mode-- ha. Neexistuje žádný režim anonymním když muž v middle-- doslovně, Verizon nebo AT & T-- je injekční další data nad kterými nemáte žádnou kontrolu, a tím odhaluje kdo jste k tomuto výsledné webové stránky znova a znova. 

Takže existují způsoby, jak se rozhodnou se z toho. Ale i zde, je něco, Upřímně řečeno, že jediný způsob, jak tlačit zpátky na to je nechat dopravce zcela, vypnout pokud se dokonce vám umožní, nebo, jak se stalo v tomto případě, udělat docela dost starostí, jako on-line že společnosti ve skutečnosti reagovat. To, také, je to jen další rozkošný příležitost to ukázat. 

A pojďme se podívat na, pojďme říkají, jeden nebo dvě poslední hrozby. A tak jsme si povídali o CS50 financí sem. Tak zjistíte, že jsme této roztomilé malá ikona na tlačítko pro přihlášení zde. Co to znamená, když místo toho používat tuto ikonu? Tak před, po. Před Po. Co to poté, co znamená? Je to bezpečné. To je to, co bych chtěl, abyste si mysleli. Ale ironicky, je to bezpečné protože máme HTTPS. 

Ale to je, jak snadné je změnit něco, co na webových stránkách, že jo? Všichni víte, trochu HTML a CSS teď. A ve skutečnosti, je to docela snadná to-- a pokud vás Neudělal to-- změnit ikonu. Ale i to je to, co společnosti nás učil dělat. Takže tady je screenshot z banky internetových stránek amerického ráno. A všimněte si, jedna, jsou mě uklidňuje, že je to bezpečná přihlásit vlevo nahoře. A mají také ikonu visacího zámku na tlačítku, což znamená, že to, co pro mě, koncovému uživateli? 

Opravdu nic, že ​​jo? Co záleží, je skutečnost, že je tu velká zelená URL up top s HTTPS. Ale když jsme se přiblížit o tom, je jen stejně jako já, věděl, trochu HTML a trochu CSS, a řekl, hej, moje webové stránky je to bezpečné. Stejně jako každý, kdo může dát zámek a slovní bezpečné přihlášení na svých internetových stránkách. A to opravdu nic neznamená. Co znamená něco je něco takového, kde je to vidět https: // na skutečnost, že Bank of America má tuto velká zelená bar, zatímco CS50 není, prostě znamená, že zaplatili několik set dolarů více, aby další ověření provedeno jejich domény ve Spojených státech, takže prohlížeče, kteří dodržují této normy nám bude také ukazují, trochu víc než to. 

Takže necháme věci na to, vyděsit vás trochu víc, než dlouhý. Ale ve středu, budeme připojil Scaz z Yale pro pohled na umělá inteligence a co můžeme dělat s těmito stroji. Uvidíme se příště.