[REPRODUCCIÓN DE MÚSICA] DAVID MALAN: Este es CS50, y este es el comienzo de la semana 10. Y es posible que recuerde esto imagen de un par de semanas atrás cuando hablamos de internet y cómo en realidad es implementado físicamente. Y se puede recordar que hay en realidad un montón de cables así como inalámbrica tecnologías que se interconectan todos los nodos o routers y otros este tipo de tecnologías en Internet. Y mucho de eso es underseas. Bueno, resulta que los cables Underseas son un poco de un objetivo. Y la conferencia de hoy es totalmente por la seguridad, no sólo las amenazas que todos enfrentamos físicamente, sino también de forma virtual, y también, hacia el final de la cola Hoy en día, algunas de las defensas que nosotros como usuarios pueden realmente poner en su lugar. Pero primero, uno de los primero y threat-- quizás lo más físico [REPRODUCCIÓN DE VÍDEO] -¿Podría Rusia sea la planificación un ataque a los cables submarinos que se conectan a Internet global? Barcos y submarinos -RUSO acecho cables submarinos cerca que llevan casi todos de Internet del mundo. Toda -El internet llevado a lo largo de estos cables. -En Primer lugar, ¿cuál es la Internet haciendo bajo el agua? Que yo sepa, no estoy supone que conseguir mi equipo mojado. En segundo lugar, si usted me pregunta cómo internet viaja de un continente a otro, Yo he dicho satélites o rayos láser, o bien, con honestidad, Probablemente tendría Sólo dijo internet. ¿Y qué pasó con la nube? Me dijeron que había una nube. ¿Recuerda? Hey, vamos a poner que en la nube. Era como el internet era un vapor de la información que rodea la Tierra, y su equipo era como un cucharón que arrancaba lo que necesitabas. Pero resulta que el Internet es en realidad bajo el agua debido a que estos cables llevan más de 95% de las comunicaciones diarias de internet. Y nos preocupa de inteligencia que en momentos de tensión o conflicto, Rusia podría recurrir a la ruptura de ellos. Sería la mayor interrupción a su servicio de Internet ya que su vecino de arriba poner una contraseña en su Wi-Fi. ¿De acuerdo? Pruebe el nombre de su perro. [FIN DE REPRODUCCIÓN] DAVID MALAN: Antes de ahora al algunas de las amenazas más virtuales, un par de anuncios. Así que nuestros amigos un CrimsonEMS Actualmente la contratación de nuevos técnicos de emergencias médicas, Técnicos Médicos de Emergencia. Y esto es en realidad algo particularmente cerca de mi corazón. Hace mucho tiempo, Recuerdo estar en un Ikea poco después de su graduación, en realidad. Y como yo estaba saliendo de la tienda, esta niño pequeño que estaba en una silla de paseo comenzado girando literalmente azul. Y él se estaba ahogando en alguna pieza de alimento que tenía presumiblemente quedado atascado en la garganta. Y su madre estaba presa del pánico. Los padres de familia a su alrededor fueron presa del pánico. E incluso yo, que tenía un poco de familiaridad con el ccsme simplemente por medio de amigos, completamente congeló. Y fue sólo gracias a algo como un socorrista de 15 años de edad que pasó por encima y en realidad sabía qué hacer instintivamente y pidió ayuda y en realidad tirado de la chico de su silla de paseo y de hecho se dirigió a la situación. Y para mí, eso fue un punto de inflexión. Y fue en ese momento momento en el que decidí, maldita sea, Necesito tener mi acto juntos y realmente saben cómo responder a ellas tipo de situaciones. Y por lo que yo obtuve una licencia hace años como un EMT. Y a través de la escuela de posgrado hice me paseo en ambulancia del MIT para un cierto período de tiempo, así como han mantenido mi licencia desde entonces. Y, de hecho, hasta la fecha, todos los del personal CS50 aquí en Cambridge en realidad están certificados en RCP, así, por razones similares. Así que si usted está en todo interesado en esto, no hay Nunca va a ser suficiente tiempo en el día para asumir algo nuevo. Pero si quieres un Año Nuevo resolución, no unirse a estos chicos aquí o considerar llegar a la Cruz Roja para la certificación, ya sea aquí o en New Haven, también. Así último almuerzo del CS50 es este viernes. Así que si aún no has unió a nosotros, o si que tiene y que desea una vez más, no ir a la página web de CS50 al llenar el formulario de allí. Sepa, también, que nuestros amigos en Yale, profesor Scassellati, ha estado produciendo una IA, artificial la inteligencia, la serie para nosotros que comenzará a debutar esta semana en el vídeo. Así, especialmente si usted está interesado en la búsqueda de un proyecto final de alguna manera relacionada con la inteligencia artificial, procesamiento natural del lenguaje, robótica incluso, dan cuenta de que éstos voluntad ser una inspiración maravillosa para eso. Y sólo para darle un teaser a esto, aquí es el propio Scaz. [REPRODUCCIÓN DE VÍDEO] -Uno De los realmente grandes cosas de la informática es que con incluso solamente un par de semanas de estudio, vas a ser capaz de entender muchos de los artefactos inteligentes y dispositivos que pueblan nuestro mundo moderno. En este breve vídeo serie, vamos a buscar en cosas como la forma de Netflix es capaz sugerir y recomendar películas que puede ser que gusta, cómo es que Siri puede responder a las preguntas que tengo, cómo es que Facebook puede reconocer la cara y etiquetar automáticamente mí en una fotografía, o cómo Google es capaz de construir un coche que conduce por sí mismo. Así que espero que te unas a mí por este breve serie de videos, la serie CS50 AI. Creo que usted encontrará que usted sabe mucho más de lo que pensaba que hiciste. [FIN DE REPRODUCCIÓN] DAVID MALAN: Así que aquellos aparecerá en la página web del curso finales de esta semana. Manténganse al tanto. Y mientras tanto, unos pocos anuncios en cuanto a lo que está por venir. Así que estamos aquí. Esto está en nuestra conferencia sobre seguridad. Este próximo miércoles Scaz y Andy, nuestros compañeros de la enseñanza cabeza en New Haven, estará aquí para mirar inteligencia artificial sí para un vistazo a cálculo para communication-- cómo construir sistemas que utilizan el lenguaje para comunicarse de ELIZA, si está familiarizado con este software de antaño, a Siri y más recientemente a Watson, que se podría saber de Jeopardy o similares. Entonces el próximo lunes, estamos no aquí en Cambridge. Estamos en New Haven por un segundo mirar a la inteligencia artificial con Scaz y company-- Adversarios de IA en los juegos. Así que si alguna vez has jugado en contra la computadora en un juego de vídeo o juego móvil o similar, vamos a hablar sobre exactamente cómo que-- construir oponentes para los juegos, cómo representar las cosas debajo de los árboles campana utilizando de juegos como el tic-tac-toe al ajedrez a la moderna real videojuegos, también. Tristemente, el concurso es poco después. Más detalles sobre eso en CS50 de página web a finales de este semana. Y nuestra última conferencia en Yale voluntad ser que el viernes después de la prueba. Y nuestra última conferencia en Harvard será el Lunes a partir de entonces, por la naturaleza de la programación. Y así, en términos de hitos, además pset ocho esta semana; informe de estado, que será un comprobación de validez rápida entre usted y su compañero de la enseñanza; la hackathon, que estará aquí en Cambridge para estudiantes de New Haven y Cambridge por igual. Nosotros nos encargamos de todos transporte desde New Haven. La aplicación de la proyecto final será debido. Y luego de los dos campus ¿habrá una feria CS50 que permite que tomemos miren y deleite en lo que todo el mundo ha logrado. De hecho, pensé que esto sería una buena momento para llamar la atención sobre este dispositivo aquí, que hemos utilizado para una cierta cantidad de tiempo aquí, que es una pantalla táctil agradable. Y, de hecho, el pasado año tuvimos una aplicación de $ 0.99 que hemos descargado desde la aplicación de Windows almacenar el fin de dibujar en la pantalla. Pero, francamente, fue muy desordenada. Nos permitió basamos en la pantalla, pero no hubo, como, una gran cantidad de iconos aquí. La interfaz de usuario era bastante malo. Si usted quiere cambiar ciertos ajustes, sólo había tantas malditas clics. Y el usuario interface-- o, más correctamente, el experience-- usuario era bastante subóptima, especialmente su uso en un entorno de conferencia. Y así llegamos a cabo a un amigo nuestro en Microsoft, Bjorn, quien en realidad es estado siguiendo junto con CS50 línea. Y como su proyecto final, en esencia, ¿verdad muy gentilmente tomar alguna entrada de nosotros en cuanto a exactamente las características y la experiencia del usuario queremos. Y luego se fue sobre la construcción para Windows esta solicitud aquí que nos permite dibujar-- oops-- y deletrear en el-- wow. Gracias. Para dibujar y escribir en esta pantalla aquí con interfaz de usuario muy mínimo. Así que me has visto, tal vez, toque para arriba aquí muy ligeramente donde hoy nos pueden destacar las cosas en rojo. Podemos alternar y ahora ir al texto blanco aquí. Si queremos eliminar realidad la pantalla, podemos hacer esto. Y si en realidad preferimos un lienzo blanco, podemos hacer eso. Así lo hace terriblemente poco por el diseño y lo hace bien. Así que yo Futz, con suerte, mucho menos este año en la clase. Y gracias, también, a un protegido de su estoy usando hoy en día un pequeño anillo. Se trata de Benjamín, que era pasantías en Bjorn este verano. Así que es un pequeño anillo. Es un poco más grande que mi anillo de costumbre. Pero a través de un poco de marcar en el lado aquí puedo realidad mover las diapositivas de la izquierda y la derecha, adelante y la espalda, y de hecho avanzar las cosas inalámbrica de manera que, uno, no tengo que seguir yendo a la barra espaciadora Aquí. Y dos, que no tiene que tener una de esas estúpidas clickers y preocupar a mi mano sujetando la maldita cosa todo el tiempo con el fin de simplemente haga clic. Y seguramente, en el tiempo, lo hará el hardware como éste conseguir super, super pequeño. Así que, sin duda, no dude pensar fuera de la caja y hacer las cosas y crear cosas que ni siquiera existe todavía para los proyectos finales. Sin más preámbulos, un vistazo a lo que le espera como te sumerjas en su última proyectos en el hackathon CS50 [REPRODUCCIÓN DE VÍDEO] [REPRODUCCIÓN DE MÚSICA] [RONQUIDOS] [FIN DE REPRODUCCIÓN] DAVID MALAN: De acuerdo. Así que el clip de Stephen Colbert que mostré hace un momento era en realidad en la televisión hace apenas unos días. Y de hecho, un par de los otros clips vamos a mostrar hoy en día son muy recientes. Y de hecho, que habla de la realidad que tanto de la tecnología y, francamente, una gran cantidad de las ideas hemos estado hablando en CS50 Realmente son omnipresentes. Y uno de los objetivos de el curso es sin duda para equiparlo con las habilidades técnicas así que pueda solucionar los problemas en realidad programación, sino dos, de manera que en realidad se puede tomar mejores decisiones y tomar decisiones más informadas. Y, de hecho, en toda la temática prensa y videos y artículos en línea en estos días es sólo una aterradora la incomprensión o la falta de la comprensión de cómo la tecnología trabaja, sobre todo entre los políticos. Y así, de hecho, en sólo un poco vamos a echar un vistazo a uno de esos detalles, así como. Pero literalmente a durar noche estaba yo sentado en Bertucci, un local de franquicia lugar italiano. Y me subí a su Wi-Fi. Y yo estaba muy tranquilicé a ver que es seguro. Y yo sabía que porque dice aquí "Secure Portal de Internet" cuando la pantalla se acercó. Así que este era el pequeño símbolo que viene en Mac OS o en Windows cuando se conecta a una red Wi-Fi por primera vez. Y tuve que leer a través de sus términos y las condiciones y, finalmente, haga clic en Aceptar. Y entonces se me permitió continuar. Así que vamos a empezar a repensar lo que todos esto significa y ya no dan por sentado lo que la gente nos dice cuando nos encontrarse con varios tecnología. Así que uno, lo que significa que este es un portal de Internet seguro? ¿Qué podría Bertucci se me aseguraba de? AUDIENCIA: Los paquetes enviados de ida y vuelta son encriptados. DAVID MALAN: Good. Los paquetes que se envían de vuelta adelante y hacia atrás están cifrados. ¿Eso es de hecho el caso? Si ese fuera el caso, ¿qué haría yo tienen que hacer o lo tendría que saber? Bueno, usted vería un poco icono de candado en Mac OS o en Windows diciendo que en efecto, hay un poco de cifrado o luchando pasando. Pero antes de poder utilizar un cifrado conexión de portal o Wi-Fi, lo que ¿tienes que escribir por lo general en? Una contraseña. Sé que no hay tal contraseña, ni lo escribo cualquier contraseña. Simplemente hace clic en Aceptar. Así que esto es completamente sin sentido. Esto no es un portal de Internet seguro. Se trata de un portal de Internet insegura 100%. No hay absolutamente ninguna encriptación ir en adelante, y todo lo que está haciendo que sea seguro es que la frase de tres palabras en la pantalla allí. Así que eso no significa nada, necesariamente, tecnológicamente. Y un poco más preocupante, si realmente leer a través de los términos y condiciones, que son sorprendentemente legible, fue esto-- "que Entendemos que nos reservamos el derecho a registrar o monitorear el tráfico de asegurar que estos términos se están siguiendo ". Así que eso es un poco espeluznante, si Bertucci es ver a mi tráfico de Internet. Pero la mayoría de cualquier acuerdo que usted ha hecho clic a ciegas a través ha dicho que seguro que antes. Entonces, ¿qué hace que realmente significa tecnológicamente? Así que si hay algo espeluznante hombre o mujer en la espalda quien, como, monitoreo todo el tráfico de Internet, cómo está él o ella accediendo que la información exactamente? ¿Cuáles son los tecnológica significa través de la cual que persona: o adversario, más generally-- se puede mirar a nuestro tráfico? Bueno, si no hay cifrado, lo que tipo de cosas podían oler, por así decirlo, una especie de detectar en el aire. ¿Qué te mira? ¿Sí? AUDIENCIA: Los paquetes que se envían desde el ordenador al router? DAVID MALAN: Sí. Los paquetes que se envían desde el ordenador al router. Así que usted puede recordar cuando estábamos en New Haven, pasamos esos sobres, física, todo el público para representar los datos que va a través de Internet. Y por cierto, si estuviéramos tirando a través de la audiencia de forma inalámbrica para llegar a su destino, cualquiera puede tipo de agarrarla y hacer una copia de la misma y ver realmente lo que está dentro de ese sobre. Y, por supuesto, lo que es dentro de estos sobres es cualquier número de cosas, incluida la dirección IP que usted está tratando de acceso o el nombre de host, como www.harvard.edu o yale.edu que usted está tratando acceder o algo completamente distinto. Por otra parte, el camino, también-- sabes de conjunto de procesadores de seis que en el interior de las peticiones HTTP son conseguir something.html barra. Así que si usted está visitando una página específica, la descarga de una imagen o de vídeo específico, toda esa información está dentro de ese paquete. Y así nadie allí en lata de Bertucci estar mirando que los mismos datos. Bueno, ¿Qué otras amenazas a lo largo de estas líneas ser conscientes de antes simplemente comenzar a aceptar como un hecho lo que alguien como Bertucci simplemente te dice? Bueno, esto era una article-- una serie de artículos que salió apenas unos meses atrás. Toda la moda en estos días son estos televisores inteligentes novedosos. ¿Qué es un smart TV, si tienes oído hablar de ellos o tienen uno en casa? AUDIENCIA: la conexión a Internet? DAVID MALAN: Sí, conectividad a Internet. Así que en general, una televisión inteligente es un TV con conexión a Internet y un usuario realmente horrible interfaz que hace es más difícil de usar en realidad la web porque hay que utilizar, al igual que, arriba, abajo, izquierda y derecha o algo en su control remoto solo acceder a cosas que son tanto más fácilmente hecho en un ordenador portátil. Pero más preocupante acerca de una televisión inteligente, y TV de Samsung en este caso particular, era que los televisores Samsung y otros estos días vienen con cierto hardware para crear lo que dicen es un mejor interfaz de usuario para usted. Así que uno, usted puede hablar con algunos de sus televisores en estos días, no a diferencia de Siri o cualquiera de los otros equivalentes en los teléfonos móviles. Así que se puede decir comandos, como el cambio de canal, aumentar el volumen, apagar, o similares. Pero lo que es la implicación de que, lógicamente? Si usted tiene la televisión en su salón habitación o la televisión, a los pies de su cama para conciliar el sueño a, ¿cuál es la implicación? ¿Sí? AUDIENCIA: Puede haber algo entrar por el mecanismo para detectar su discurso. DAVID MALAN: Sí. AUDIENCIA: Eso podría ser enviados a través de Internet. Si es sin cifrar, entonces es vulnerable. DAVID MALAN: En efecto. Si tienes un micrófono incorporado en una TV y su propósito en la vida es, por diseño, para escuchar a usted y responder a usted, que es, sin duda va a ser escuchar todo lo que dices y luego traducir que a algunas instrucciones incrustadas. Pero el problema es que la mayoría de ellos Televisores no son inteligentes perfectamente a sí mismos. Son muy dependientes La conexión a internet. Tanto como Siri, cuando usted habla en su teléfono, envía rápidamente que los datos a través Internet a los servidores de Apple, luego vuelve una respuesta, literalmente, es el Samsung TV y equivalentes simplemente enviar todo lo que eres diciendo en su sala de estar o en el dormitorio de sus servidores sólo para detectar qué dijo, encender el televisor o apagar el televisor? Y Dios sabe lo otra cosa podría ser pronunciado. Ahora, hay algunas maneras para mitigar esto, ¿verdad? Al igual que lo hace Siri y lo hace Google y otros hacen por lo menos a defenderse que el riesgo de que son escuchar absolutamente todo? Se tiene que ser activado diciendo algo como, hey, Siri, o hi Google o similares, o bien, Google o similares. Pero todos sabemos que los expresiones tipo de chupar, ¿verdad? Como yo era sitting-- de hecho la última vez Yo estaba en horas de oficina en la Universidad de Yale, en mi opinión, Jason o uno de los TFS mantienen gritando, como, hey, Siri, hey, Siri y estaba haciendo mi teléfono hacer cosas porque era demasiado proximal a mi teléfono real. Pero lo contrario es cierto, también. A veces las cosas simplemente patear el porque es imperfecto. Y, en efecto, natural processing-- idioma entender el fraseo de un ser humano y luego hacer algo basado en it-- es sin duda imperfecta. Ahora, peor aún, algunos de que podría haber visto o tiene un televisor donde se puede hacer cosas estúpidas o la nueva era como este para cambiar los canales hacia la izquierda o esto para cambiar de canal a la derecha o bajar el volumen o aumentar el volumen. Pero ¿qué significa el televisor tiene? Una cámara apuntando a usted en todo momento posibles. Y de hecho, el brouhaha alrededor de Samsung TV para el que tomó un poco de Flack es que si usted lee los términos y condiciones del TV-- la cosa que ciertamente nunca lee al desembalar su televisor por primera vez-- incrustado allí era un poco disclaimer diciendo el equivalente, una es posible que no quieren tener personal conversaciones en frente de este televisor. Y eso es lo que se reduce a. Pero usted no debe incluso necesitan que se les diga eso. Deberias ser capaz de inferir de la realidad que micrófono y la cámara literalmente señalando a mí todo el tiempo tal vez es más mal que bien. Y, francamente, lo digo un tanto hipócritamente. Yo, literalmente, tengo, además de esas cámaras, Tengo una pequeña cámara diminuta aquí en mi portátil. Tengo otra por aquí. Tengo el en mi Celular en ambos lados. Así sea que yo lo atribuyo por el camino equivocado, que todavía puede verme y escucharme. Y todo esto podría ser pasando todo el tiempo. Entonces, ¿qué lo impide mi iPhone o Android teléfono de hacer esto todo el tiempo? ¿Cómo sabemos que Apple y alguna persona espeluznante en Google, no están escuchando a esta misma conversación a través del teléfono o conversaciones Tengo en casa o en el trabajo? AUDIENCIA: Debido a que nuestras vidas no son tan interesantes. DAVID MALAN: Debido a que nuestro vidas no son tan interesantes. Que en realidad es una respuesta válida. Si no estamos preocupados acerca de una amenaza particular, hay una especie de quién cuida aspecto a la misma. Poco viejo yo no voy para ser realmente un objetivo. Pero ciertamente podía. Y así, a pesar de que se ve un poco cosas cursis en TV y películas, como, oh, vamos a centrar en la parrilla y- como Batman hace mucho, en realidad, y realmente puede ver Gotham, lo que es pasando a través de los teléfonos móviles de las personas o similares. Algunas de que es un poco futurista, pero estamos casi ahí en estos días. Casi todos nosotros son caminando con GPS transpondedores que es diciendo Apple y Google y todos los demás que quiere saber dónde estamos en el mundo. Contamos con un micrófono. Tenemos una cámara. Le estamos diciendo cosas como SNAPCHAT y otras aplicaciones de todos los que conocemos, todos sus números de teléfono, todas sus direcciones de correo electrónico. Y así, una vez más, uno de los robos de balón hoy en día, con suerte, es al menos de pausa un poco antes sólo decir ciegamente, OK cuando se desea que el comodidad de SNAPCHAT sabiendo que todos sus amigos es. Pero a la inversa, ahora SNAPCHAT sabe todos sus conocidos y cualquier pequeñas notas que podría han hecho en sus contactos. Así que esto fue muy oportuno, también. Hace unos meses, SNAPCHAT sí no se vea comprometida. Pero había habido alguna aplicaciones de terceros que hizo más fácil para guardar encaje Y la captura fue que ese servicio de terceros fue a su vez comprometidos, en parte, porque el servicio de SNAPCHAT apoyado una característica que probablemente no debería tener, lo que permitió esta archivado por un tercero. Y el problema es que un archivo de, como, 90.000 broches de presión, creo, fueron en última instancia comprometida. Y por lo que podría tomar un poco de consuelo en cosas como SNAPCHAT ser efímero, ¿derecho? Usted tiene siete segundos para mirar ese mensaje inapropiado o una nota, y luego desaparece. Pero, la mayoría de ustedes probablemente han descubierto cómo tomar capturas de pantalla a estas alturas, que es la forma más fácil de eludir eso. Pero dos, no hay nada que la empresa o la persona que está en Internet que intercepten datos, potencialmente, también. Así que esto era, literalmente, sólo un día o dos atrás. Este era un buen titular de un artículo en un sitio web en línea. "Gusano épica Fail-- Poder Ransomware destruye accidentalmente Datos de la víctima durante el cifrado ". Así que otra rasgado de la titulares tipo de cosas aquí. Así que usted puede ser que tenga oído hablar de malware, que es tan malo software malicioso software-- que las personas con demasiado tiempo libre escribir. Y a veces, sólo hace cosas estúpidas como borrar archivos o enviar spam o similares. Pero a veces, y cada vez más, es más sofisticada, ¿verdad? Todos ustedes saben cómo incursionar en el cifrado. Y César y Vigenére No son super seguro, pero hay otros, sin duda, que son más sofisticados. Y así lo hizo este adversario se escribió una pieza de malware que de alguna manera infectado un manojo de computadoras de las personas. Pero él era una especie de idiota y escribió una versión con errores de este malware de tal manera que cuando él o ella implementamos el code-- oh, estamos recibiendo una gran cantidad de-- lo siento. Estamos recibiendo una gran cantidad de realiza en el micrófono. OK. Así que lo que el problema era que él o ella escribió algunas malas código. Y por lo que generan seudo una clave de cifrado con la que para cifrar los datos de alguien maliciosamente, y luego tiró accidentalmente la llave de encriptación. Por lo tanto el efecto de esta malware no se como se pretende, a los datos de rescate de alguien por encriptar su disco duro y luego esperar $ 800 de Estados Unidos a cambio para la clave de cifrado, en cuyo punto la víctima pudo descifrar sus datos. Más bien, el malo de la película, simplemente todos los datos cifrados en su disco duro, por accidente eliminado la clave de cifrado, y no conseguí dinero fuera de él. Pero esto también significa que la víctima es realmente una víctima porque ahora él o ella no puede recuperar cualquiera de los datos a menos en realidad tienen algunos de la vieja escuela copia de seguridad de la misma. Así que aquí también es una especie de realidad que usted va a leer en estos días. Y ¿cómo se puede defender contra esto? Bueno, esto es una lata entera de gusanos, sin juego de palabras, acerca de los virus y gusanos y similares. Y no hay duda de software con el que puedes defenderte. Pero mejor que eso es sólo para ser inteligente al respecto. De hecho, yo haven't-- este es uno de éstos hacen lo que yo digo, no lo que hago las cosas, perhaps-- No he utilizado realmente software antivirus en el año porque si usted generalmente sabe qué buscar, puede defenderse contra la mayoría todo por su cuenta. Y, de hecho, oportuna aquí en Harvard-- hubo un error o un problema la semana pasada, donde Harvard es claramente, como, seguimiento de un montón de tráfico de red. Y todos ustedes aun visitar el sitio web del CS50 podría haber conseguido un dicho de alerta que no se puede visitar este sitio web. No es seguro. Pero si se trató de visita Google o en otros sitios, también, los que, también, eran inseguros. Esto se debe a la Universidad de Harvard, también, tiene algún tipo de sistema de filtración que es mantener un ojo en sitios web potencialmente peligrosos para ayudar a protegernos contra nosotros. Pero incluso esas cosas son claramente imperfecta, si no con errores, sí. Así aquí-- si tienes curiosidad, voy a dejar estas diapositivas hasta online-- es la información real que el adversario dio. Y él o ella era pidiendo en bitcoin-- que es un currency-- virtual de $ 800 Estados Unidos para descifrar realmente sus datos. Desafortunadamente, este fue completamente frustrado. Así que ahora vamos a ver algo más político. Y de nuevo, el objetivo aquí es para empezar a pensar en cómo usted puede tomar decisiones más informadas. Y esto es algo sucediendo actualmente en el Reino Unido. Y esto fue un lema maravilloso de un artículo sobre esto. El Reino Unido está introduciendo, como ya verás, una nueva vigilancia proyecto de ley por el que el Reino Unido es proponiendo para monitorear todo lo los británicos lo hacen por un período de un año. Y entonces los datos se lanza hacia fuera. Lo dijeron ellos, "sería servir a una tiranía bien ". Así que vamos a echar un vistazo a un amigo del señor Colbert. [REPRODUCCIÓN DE VÍDEO] -Bienvenido, Bienvenido, bienvenido a "La semana pasada esta noche." Muchas gracias por acompañarnos. Soy John Oliver. El tiempo justo para un resumen rápido de la semana. Y empezamos con el Reino Unido, Magic Kingdom menos de la Tierra. Esta semana, el debate se ha desatado sobre hay más de una nueva polémica ley. -El Gobierno británico es nuevas leyes de vigilancia revelando que se extienden de manera significativa su poder para supervisar las actividades de las personas en línea. -Theresa Mayo existe llama una licencia para operar. Otros lo han llamado un Carta de fisgón, no tiene que? -Bueno, Espera snooper de porque-- Carta no es la frase correcta. Eso suena como el acuerdo de un niño de ocho años de edad, es obligado a firmar la promesa de noquear antes de entrar en el dormitorio de sus padres. Dexter, firmar la carta de este fisgón o no podemos ser responsables de lo que es posible que vea. Este proyecto de ley podría potencialmente escribir en ley una gran invasión de la privacidad. -Bajo Los planes, una lista de sitios web visitado por todas las personas en el Reino Unido se grabará durante un año y podría ponerse a disposición de la policía y la seguridad servicios. -Este Comunicaciones datos no revelarían la página web exacta mirabas, pero sería mostrar el sitio que estaba. -OK. Así que no sería almacenar el página exacta, sólo el sitio web. Pero eso es todavía un montón de información. Por ejemplo, si alguien visitado orbitz.com, sabrías que eran pensando en hacer un viaje. Si visitaron yahoo.com, estarías saber que acaba de tener un accidente cerebrovascular y se olvidó la palabra "google". Y si visitaron vigvoovs.com, sabrías que son cachonda y su llave B no funciona. Y aun con todo el barrido poderes el proyecto de ley contiene, Secretario del Interior británico, Theresa May insiste en que los críticos han soplado hacia fuera de la proporción. Registro de conexión a Internet -Un es un registro del servicio de comunicación que una persona ha utilizado, no un registro de todas las páginas web que han accedido. Es simplemente el equivalente moderno de una factura de teléfono detallada. -Sí, Pero eso no es tan tranquilizador como ella piensa que es. Y te voy a decir por qué. En primer lugar, yo no quiero que el gobierno mirando mi teléfono llama tampoco. Y en segundo lugar, una Internet historial de navegación es un poco diferente de una factura de teléfono detallada. Nadie elimina frenéticamente su teléfono proyecto de ley cada vez que termina una llamada. [FIN DE REPRODUCCIÓN] DAVID MALAN: emerge un patrón de en cuanto a cómo me preparo para la clase. Es sólo para ver la televisión durante una semana y ver lo que sale, con claridad. Así que, también, era sólo de pasada noche en "La semana pasada esta noche." Así que vamos a empezar a hablar ahora acerca de algunas de las defensas. De hecho, para algo como este, donde los británicos se propone mantener un registro de ese tipo de los datos, donde puede que se viene? Bueno, recuerdo del conjunto de procesadores de seis, pset siete, y conjunto de procesadores de ocho ahora que en el interior de los virtual envelopes-- al menos para HTTP-- son mensajes que se parecen a esto. Y así este mensaje, por supuesto, no es sólo dirigida a una dirección IP específica, que el gobierno aquí o allá sin duda podría iniciar la sesión. Pero incluso dentro de ese sobre es una mención expresa del nombre de dominio que está siendo visitado. Y si no se trata sólo raya vertical, que en realidad podría ser un nombre de archivo específico o una imagen o una película específica o, de nuevo, nada de interés para usted podría que sin duda interceptado si todo el tráfico de red de alguna manera se está proxy a través de servidores gubernamentales, como ya sucede en algunos países, o si hay son una especie de desconocidos o acuerdos no revelados, como ha ocurrido ya en esta país entre algunas grandes players-- ISPs y empresas de telefonía y el como-- y el gobierno. Tan divertido historia-- la última vez que elegí badplace.com de la parte superior de mi cabeza como un ejemplo de un incompleto página web, no lo hice realidad veterinario de antemano si o no que en realidad llevado a una badplace.com. Afortunadamente, este dominio nombre es simplemente estacionado, y no lo hace realidad conducir a una badplace.com. Así que vamos a seguir el uso que uno por ahora. Pero me han dicho que podría haber petardeo muy mal ese día en particular. Así que vamos a empezar a hablar ahora acerca de ciertas defensas y qué agujeros allí incluso podría estar en ellos. Así contraseñas es una especie de la go-para responder para una gran cantidad de mecanismos de defensa, ¿no? Sólo proteger con contraseña, a continuación, que mantendrá los adversarios a cabo. Pero ¿qué significa esto realmente? Así recordará del pirata informático dos, de vuelta si usted abordarse que-- cuando había que descifrar contraseñas en un file-- o incluso en un problema establecer siete años, cuando le demos una muestra de SQL archivo de algunos nombres de usuario y contraseñas. Estos eran los nombres de usuario que vieron, y estos fueron los hashes que distribuimos para el edición pirata del problema fijó dos. Y si usted ha estado preguntando todo esto tiempo lo fueron las contraseñas reales, esto es lo que, de hecho, que a descifrar, que que podría haber agrietado en conjunto de procesadores de dos o usted podría haber imaginado ellos juguetonamente en el problema de establecer siete. Todos ellos tienen algunos con suerte significado lindo aquí o en New Haven. Pero la comida para llevar es que todos ellos, por lo menos aquí, son bastante corto, bastante adivinar. Quiero decir, en base a la lista aquí, que son tal vez los más fáciles de roer, averiguar por escrito software que sólo conjeturas y los cheques, ¿dirías? AUDIENCIA: Contraseña. DAVID MALAN: Contraseña de bastante bueno, ¿no? Y es una sólo--, es una contraseña muy común. De hecho, cada año hay una lista de las contraseñas más comunes en el mundo. Y cita, "password" fin de la cita es generalmente alto de esa lista. Dos, que es en el diccionario. Y usted sabe de un problema fijó cinco que no es hard-- que podría haber una poco consuming-- tiempo pero no es tan difícil de cargar un gran diccionario en la memoria y luego utilizarlo para tipo de conjetura y verificación todas las palabras posibles en un diccionario. ¿Qué otra cosa podría ser bastante fácil de adivinar y comprobar? ¿Sí? AUDIENCIA: La repetición de letras. DAVID MALAN: La repetición de símbolos y letras. Así que tipo de clase de. Así que, en fact-- y no vamos a entrar en gran detalle aquí-- todos ellos fueron salado, que se puede recordar de problema conjunto de documentación de siete. Algunos de ellos tienen diferentes sales. Así que en realidad se podría evitar tener repetición de ciertos personajes simplemente mediante salazón las contraseñas de manera diferente. Pero cosas como 12.345, eso es una cosa bastante fácil de adivinar. Y, francamente, el problema con todas estas contraseñas es que todos están usando sólo 26 posibles caracteres, o tal vez 52 con un poco de mayúsculas, y luego 10 letras. No estoy usando cualquier carácter cobarde. No estoy usando ceros para O de los o porque yo de o L's o- si alguno de ustedes Crees que estás siendo inteligente, sin embargo, por que tiene un cero por una O en su contraseña o-- OK, vi sonreír a alguien. Así que alguien tiene un cero para una O en su contraseña. Usted no está realmente estar como inteligente como usted podría pensar, ¿no? Porque si más de uno de nos está haciendo esto en el habitación-- y yo he sido culpable de esto como bien-- así, una especie de hacer esto de si todo el mundo, ¿qué hace el adversario tiene que hacer? Sólo tiene que añadir ceros y unos y un par de otro-- tal vez cuatro patas para H's-- a su arsenal y acaba de sustituir los letras de las palabras del diccionario. Y es sólo un adicional lazo o algo por el estilo. Así que en realidad, la mejor defensa de las contraseñas es algo mucho, mucho más random-pareciendo entonces éstos. Ahora, por supuesto, las amenazas contra contraseñas a veces incluyen mensajes de correo electrónico por el estilo. Así que, literalmente, sólo conseguí este en mi bandeja de entrada de hace cuatro días. Se trata de Bretaña, que aparentemente trabaja en harvard.edu. Y ella me escribió como usuario de correo web. "Nosotros solo dado cuenta de que su correo electrónico cuenta se registra en otro equipo en una ubicación diferente, y eres para verificar su identidad personal ". Así temática en muchos mensajes de correo electrónico como esto, que son ejemplos de phishing attacks-- P-H-I-S-H-I-N-G-- donde alguien está tratando de pescar y conseguir un poco de información de ti, generalmente por un correo electrónico como este. Pero ¿cuáles son algunos de los delator señales de que esto no es, de hecho, un correo electrónico legítimo de ¿Universidad Harvard? ¿Que es eso? Así mala gramática, la capitalización raro, cómo algunas cartas son capitalizado en ciertos lugares. Hay un poco de sangría extraña en un par de lugares. ¿Qué otra cosa? ¿Que es eso? Bueno, eso sin duda helps-- la caja amarilla grande que dice que esto podría ser el spam Google, que es sin duda útil. Así que hay un montón de signos reveladores aquí. Pero la realidad es esto correos electrónicos deben trabajar, ¿verdad? Es bastante barato, si no es libre, para enviar cientos o miles de mensajes de correo electrónico. Y no es sólo mediante el envío fuera de su propio ISP. Una de las cosas que malware se tiende a hacer-- así que los virus y gusanos que accidentalmente infectar ordenadores o porque no tienen sido escrito por adversaries-- uno de los lo que hacen es simplemente batir hacia fuera spam. Así que lo que sí existe en el mundo, de hecho, son cosas llamadas botnets, que es una forma elegante de decir que las personas con una mejor codificación habilidades que la persona que escribió que la versión con errores de software, han software de realidad escrito que la gente como nosotros sin sospechar nada instalar en nuestros ordenadores y luego empezar a correr detrás las escenas, sin saberlo nosotros. Y los programas maliciosos programas intercomunican. Ellos forman una red, una botnet si se quiere. Y, en general, la más sofisticada de adversarios tiene algún tipo de control remoto a través de miles, si no decenas de miles, de las computadoras por sólo el envío un mensaje en el Internet que todos esos bots, por así decirlo, son capaces de oír o de vez en cuando solicitud de algún sitio central y luego se puede controlar para enviar spam. Y estas cosas de spam pueden ser acaba de vender al mejor postor. Si eres una empresa o tipo de una empresa marginal que en realidad no se preocupan por la especie de ética de correo basura a sus usuarios pero lo que desea arremetido contra un millón de personas y esperar que el 1% de ellos-- que sigue siendo un número no trivial del potencial buyers-- en realidad se puede pagar estos adversarios en el tipo de mercado negro de clases para enviar estos mensajes de spam a través de sus redes de bots para usted. Así que basta con decir, esto no es un correo electrónico especialmente convincente. Pero incluso Harvard y Yale y similares menudo cometer errores, en ese sabemos por unas semanas espalda que se puede hacer una enlace decir www.paypal.com. Y todo apunta a que va allí. Pero, por supuesto, en realidad no hacer eso. Y así de Harvard y Yale y otros tienen Ciertamente sido culpables en los últimos años en el envío de mensajes de correo electrónico que son legítimos, pero contienen hipervínculos en ellos. Y nosotros, como seres humanos, hemos sido entrenado por especie de los funcionarios, muy a menudo, en realidad sólo tienes que seguir enlaces que recibimos en un correo electrónico. Pero incluso eso no es la mejor práctica. Así que si alguna vez tienes un correo electrónico como esto-- y tal vez es por Paypal o Harvard o Yale o Bank of America o el como-- aún debe no hacer clic el enlace, incluso si parece legítimo. Usted debe escribir manualmente que el URL usted mismo. Y, francamente, eso es lo que el administrador del sistema debe decirnos que hacer para que no estamos engañados para hacer esto. Ahora, ¿cuántos de ustedes, tal vez mirando hacia abajo en su asiento, han contraseñas escritas en alguna parte? Tal vez en un cajón de su dormitorio o quizá under-- en una mochila en alguna parte? ¿Billetera? ¿No? AUDIENCIA: En una caja de seguridad a prueba de fuego? DAVID MALAN: En una caja de seguridad a prueba de fuego? OK. Así que eso es mejor que una nota adhesiva en su monitor. Así que sin duda, algunos de usted está insistiendo no. Pero algo me dice que está no necesariamente el caso. Así que ¿qué hay de una manera más fácil, más probable pregunta-- ¿cuántos de ustedes están utilizando el misma contraseña para varios sitios? Oh ok. Ahora estamos siendo honestos. Correcto. Así que eso es una noticia maravillosa, ¿verdad? Porque si esto significa si sólo uno de los sitios que todo esté utilizando se ve comprometida, ahora adversario tiene acceso a más datos acerca de ti o más cualquier posible intrusión. Así que esa es una tarea fácil de evitar. Pero, ¿cuántos de ustedes tienen un contraseña bastante adivinar? Tal vez no es tan malo como esto, pero algo? Por algún sitio estúpida, ¿verdad? No es de alto riesgo, no tiene una tarjeta de crédito? Todos nosotros. Al igual que, aun tengo contraseñas que son probablemente sólo 12.345, sin duda. Así que ahora tratar de iniciar sesión en todos los sitios web que se pueda imaginar con malan@harvard.edu y 12.345 y ver si funciona. Pero hacemos esto, también. ¿Entonces por qué? ¿Por qué tantos de nosotros tenemos ya sea bonita contraseñas fáciles o las mismas contraseñas? ¿Cuál es el mundo real Justificación de esto? Es más fácil, ¿no? Si he dicho lugar, académicamente, chicos realmente debería ser la elección contraseñas pseudoaleatorios que son al menos 16 caracteres de longitud y tienen una combinación de letras alfabéticas, números y símbolos, ¿quién demonios va para ser capaz de hacer eso o recordar las contraseñas, y mucho menos para todos y cada sitio web posible? Entonces, ¿qué es una solución viable? Bueno, uno de los comida para llevar hoy mayor, también, de manera pragmática, lo haría ser, de verdad, para empezar el uso de algún tipo de gestor de contraseñas. Ahora, hay aspectos positivos y desventajas de estas cosas, también. Estos son dos que tienden a recomendar en CS50. Uno de llamada botón 1Password. Uno se llama LastPass. Y algunos de ustedes podrían utilizar estos ya. Pero es generalmente una pieza de software que no facilitar la generación de grandes contraseñas pseudoaleatorios que no es posible que recuerde como un ser humano. Almacena los pseudoaleatorio contraseñas en su propia base de datos, esperemos que en el disco local, drive-- encriptada, mejor aún. Y todo lo que el ser humano, hay que recordar, normalmente, es una contraseña maestra, que probablemente va a ser muy larga. Y tal vez no es caracteres aleatorios. Tal vez sea, como, una frase o un párrafo corto que pueda recordar y usted puede escribir una vez al día para desbloquear el equipo. Así que utiliza una especialmente grande contraseña para proteger y encriptar todas sus otras contraseñas. Pero ahora estás en el hábito de usar el software como éste para generar pseudoaleatorio contraseñas a través de todos los sitios web tu visitas. Y, de hecho, no puedo cómodamente dicen ahora, en 2015, No sé la mayoría de mis contraseñas más. Sé que mi contraseña maestra, y yo escribo que, sin saberlo, una o más veces al día. Pero lo bueno es que ahora, en su caso de mis cuentas uno se ve comprometida, no hay manera de que alguien es va a utilizar esa cuenta para entrar en otra, porque ninguna de mis contraseñas son lo mismo. Y ciertamente, nadie, incluso si él o ella escribe el software acusatorio a la fuerza bruta y cosas Supongo posible passwords-- las probabilidades de que van a elegir mis 24 caracteres contraseñas largas es tan, tan baja que no estoy preocupado por la amenaza más. ¿Cuál es la disyuntiva aquí? Eso parece maravilloso. Estoy mucho más seguro. ¿Cuál es el equilibrio? ¿Sí? AUDIENCIA: Tiempo. DAVID MALAN: Tiempo. Es mucho más fácil escriba 12345 y estoy conectado en comparación con algo que es 24 caracteres o un párrafo corto. ¿Qué otra cosa? AUDIENCIA: Si alguien rompe su contraseña maestra. DAVID MALAN: Sí. Así que estás tipo de cambio de el escenario de amenaza. Si alguien adivina o figuras o se lee en la nota de post-it en su almacén de archivos segura, la contraseña maestra que tiene, ahora todo se ve comprometida mediante el cual previamente se fue tal vez sólo una cuenta. ¿Qué otra cosa? AUDIENCIA: Si desea utilizar cualquiera de sus cuentas en otro dispositivo y usted no tiene LastPass [inaudible]. DAVID MALAN: Sí, eso es una especie de captura, también. Con estas herramientas, también, si usted no tiene el equipo y que se encuentre, al igual que, algún café o eres en casa de un amigo o de un laboratorio de computación o donde sea y quiere para iniciar sesión en Facebook, que ni siquiera sabe lo que su contraseña de Facebook es. Ahora, a veces, puede mitigar esto por tener una solución que hablaremos en un momento llamado autenticación de dos factores por el que Facebook va a texto usted o enviará un mensaje cifrado especial a su teléfono o algún otro dispositivo que usted lleva alrededor en su llavero con que puede identificarse. Pero eso es, tal vez, molesto si estás en el sótano del centro de la ciencia o en otro lugar aquí en el campus de New Haven. Puede que no tenga señal. Y así, eso no es necesariamente la solución. Así que lo que realmente es un trade-off. Pero lo que yo le animamos a hacer-- si vas a la página web del CS50, en realidad nos organizamos para el primero de estas empresas para una licencia de sitio, por así decirlo, para todos los estudiantes CS50 por lo que no tiene que pagar los $ 30 o por lo que normalmente cuesta. Para Macs y Windows, puedes echar un vistazo 1Password de forma gratuita en el sitio web del CS50, y vamos a liarte con eso. Darse cuenta, también, que algunos de éstos tools-- incluyendo LastPass en una de sus forms-- es basado en la nube, como Colbert dice, lo que significa que sus contraseñas se almacenan encryptedly en la nube. La idea no es que se puede ir a una persona al azar o la computadora de un amigo e iniciar sesión en su cuenta de Facebook cuenta o similar ya que primero vaya a lastpass.com, acceder a su contraseña, a continuación, escriba en. Pero ¿cuál es el escenario de amenaza allí? Si usted está almacenando cosas en la nube, y ya está el acceso a ese sitio web en algún equipo desconocido, lo que podría estar haciendo tu amigo a usted oa sus golpes de teclado? OK. Estaré avanzar manualmente desliza aquí en adelante. Keylogger, ¿verdad? Otro tipo de malware es un keylogger, que es simplemente un programa que en realidad registra todo lo que escribe. Así que, también, es probablemente mejor tener algún dispositivo secundario como éste. Entonces, ¿qué es autenticación de dos factores? Como su nombre indica, es que tienes no uno, sino dos factores con los que para autenticar a un sitio web. Así que en lugar de utilizar sólo una contraseña, usted tiene algún otro segundo factor. Ahora, que es generalmente, uno, factor es algo que usted sabe. Así que algo un poco en el ojo de su mente, que es contraseña que ha memorizado. Pero dos, no otra cosa que usted sabe o ha memorizado pero algo que tienes físicamente. La idea aquí es su amenaza ya no podría ser una persona al azar en el Internet que puede simplemente adivinar o averiguar la contraseña. Él o ella tiene que tener física acceso a algo que usted tiene, que todavía es posible y aún así, tal vez, tanto más físicamente amenazante. Pero es al menos un diferentes tipos de amenaza. No es un millón de personas sin nombre por ahí tratando de llegar a sus datos. Ahora es un muy específico persona, tal vez, que si eso es un problema, eso es otro problema por completo, también. Así que por lo general existe para los teléfonos u otros dispositivos. Y, de hecho, Yale acaba de rodar esto a mediados de semestre tales que esto no afecta la gente en esta sala. Pero aquellos de ustedes siguiente junto en New Haven saber que si quieres iniciar sesión en su ID de yale.net, además de escribir su nombre de usuario y su contraseña, a continuación, le solicita con esto. Y, por ejemplo, esta es una la captura de pantalla que tomé esta mañana cuando me registré en mi cuenta de Yale. Y me envía el equivalente de un mensaje de texto a mi teléfono. Pero, en realidad, he descargado una aplicación de antemano que Yale ahora distribuye, y tengo que ahora sólo tienes que escribir en el código que mandan a mi teléfono. Pero para ser claros, el ventaja de esto es que ahora, incluso si alguien se da cuenta de mi contraseña Yale, estoy seguro. Eso no es suficiente. Eso es sólo una llave, pero yo necesitan dos para desbloquear mi cuenta. Pero ¿cuál es el lado negativo, tal vez, del sistema de Yale? Y vamos a dejar Yale sabe. ¿Cuál es la desventaja? ¿Que es eso? Si no tiene el servicio de celular o si no tienen Wi-Fi porque eres acaba en un sótano o algo, podría no ser capaz de llegar el mensaje. Afortunadamente, en este caso particular, esto va a utilizar Wi-Fi o alguna otra cosa, que trabaja a su alrededor. Sin embargo, un posible escenario. ¿Qué otra cosa? Usted podría perder su teléfono. Sólo que no lo tiene. La batería se agota. Quiero decir, no hay un número escenarios de molestos pero posibles escenarios que podrían ocurrir que hacen que te arrepientes de esta decisión. Y lo peor posible resultado, francamente, a continuación, sería para que los usuarios desactivar esta completo. Así que no siempre va siendo esta tensión. Y usted tiene que encontrar por ti mismo como usuario especie de punto dulce. Y para hacer esto, tomar un par sugerencias concretas. Si utiliza Google Gmail o Google Apps, saber que si vas a este URL aquí, puede activar de dos factores autenticación. Google llama la verificación en 2 pasos. Y hace clic en Configuración y, a continuación, a hacer exactamente eso. Eso es una buena cosa que hacer, sobre todo en estos días, ya que, gracias a las cookies, está conectado casi todo el día. Así que tienes raramente escriba su contraseña de todos modos. Así que usted podría hacerlo una vez al semana, una vez al mes, una vez al día, y es menos de un grande tratar que en el pasado. Facebook también tiene esta. Si usted es un poco demasiado flojo con escribir su contraseña de Facebook en amigos ' ordenadores, al menos permitirá de dos factores autenticación de modo que ese amigo, incluso si él o ella tiene un registrador de pulsaciones de teclas, que no pueden entrar en su cuenta. Bueno, ¿por qué es eso? ¿No podían simplemente ingrese el código que he escrito en mi teléfono que Facebook ha enviado a mí? AUDIENCIA: [inaudible]. DAVID MALAN: Sí. El software bien diseñado cambiará esos códigos que son enviados a su teléfono cada pocos segundos o cada vez que y para que, sí, incluso si él o ella se da cuenta de lo que su código es, sigues siendo seguro porque va a haber expirado. Y esto es lo que parece igual que en la página web de Facebook. Pero hay otro enfoque completo. Así que si ese tipo de compensaciones no son particularmente atractivo, un principio general en materia de seguridad lo haría ser, bueno, sólo por lo menos las cosas de auditoría. No especie de poner su cabeza en la arena y nunca se sabe si o cuando que ha sido comprometida o atacado. Por lo menos establecer algún mecanismo que le informa al instante si algo anómalo ha sucedido para que al menos estrecha la ventana de tiempo durante el que alguien puede hacer daño. Y en esto, me refiero a la following-- en Facebook, por ejemplo, usted puede convertir en lo que que ellos llaman alerta de inicio de sesión. Y ahora mismo, me he permitido email iniciar sesión alertas pero no notificaciones. Y lo que eso significa es que si las notificaciones de Facebook He inscrito en un nuevo computer-- como si yo no tengo una galleta, Es una dirección IP diferente, es un tipo diferente de computer-- ellos, en este escenario, enviar me un correo electrónico diciendo, hey, David. Parece que ha entrado en el de un equipo desconocido, lo digo. Y ahora mi cuenta podría ser comprometida, o mi amigo molesto podría haber sido ingresando a mi cuenta ahora publicar cosas en mi feed de noticias o similares. Pero al menos la cantidad de tiempo con el que estoy ignorante de que es súper, súper estrecho. Y yo espero que puedo responder. Así que los tres de éstos, lo haría por ejemplo, son muy buenas cosas que hacer. ¿Cuáles son algunas de las amenazas que son un poco más difícil para nosotros terminamos los usuarios para proteger contra? ¿Alguien sabe qué secuestro de sesión es? Es una amenaza más técnico, pero muy familiar ahora que hemos hecho PSET seis y siete y ahora ocho. Así que recuerda que cuando se envía el tráfico en internet, algunas cosas suceden. Déjame ir adelante y iniciar sesión en c9 o CS50.io. Dame sólo un momento a iniciar sesión en mi cuenta jHarvard. AUDIENCIA: ¿Cuál es su contraseña. DAVID MALAN: 12.345. Correcto. Y aquí, sé que si me voy adelante y solicitar una web page-- y mientras tanto, déjame hacer esto. Permítanme abro Inspector de Chrome pestaña y mi tráfico de red. Y déjame ir a http://facebook.com y claro esto. En realidad, ¿sabes qué? Vamos a ir a una más familiar uno-- https://finance.cs50.net y haga clic en Enter sesión el tráfico de red aquí. Así que notar aquí, si miro en mi tráfico de red, respuesta headers-- vamos a ir aquí. Respuesta headers-- aquí. Así que la primera solicitud que enviado, que fue para la página por defecto, que respondió con estas cabeceras de respuesta. Y hemos hablado cosas como la ubicación. Al igual, significa ubicación redirigir a login.php. Pero una cosa que no hablaba una enorme cantidad sobre era líneas como esta. Así que este es el interior del envolvente virtual que es enviado desde CS50 Finance-- la versión que ustedes escribió, también-- a la computadora portátil de un usuario o computadora de escritorio. Y esto está estableciendo una cookie. Pero, ¿qué es una cookie? Piense de nuevo a nuestra discusión de PHP. ¿Sí? Sí, es una manera de decir la sitio web que usted todavía está conectado. Pero, ¿cómo funciona eso? Bueno, al visitar finance.cs50.net, parece que ese servidor que hemos implementado es el establecimiento de una cookie. Y esa cookie es convencionalmente llamar PHPSESSID ID de sesión. Y usted puede pensar en él como un handstamp virtual en un club o, como, un parque de diversiones, un pedacito de tinta roja que va de la mano de manera que la próxima vez que visite el puerta, sólo tiene que mostrar su lado, y el guardia de seguridad en la puerta le permitirá aprobar o no sobre la base de ese sello. Así la subsiguiente peticiones que mi navegador sends-- si voy a la siguiente petición y nos fijamos en las cabeceras de petición, te darás cuenta de más cosas. Pero lo más importante es esto porción resaltada aquí-- No establezca la galleta pero cookie. Y si le doy la vuelta a través de cada una de esas peticiones HTTP subsiguientes, cada vez que iba a ver una mano siendo ampliado con la misma exacta PHPSESSID, es decir, esto es los mechanism-- esta gran pseudoaleatorio number-- que un servidor utiliza para mantener la ilusión de $ _SESSION objeto de PHP, en el que puede almacenar cosas como ID del usuario o lo que está en su cesta de la compra o cualquier número de otras piezas de datos. ¿Cuál es la implicación? Bueno, ¿y si ese datos no está cifrada? Y, de hecho, a la mejor práctica cifrar o menos cada uno de los sitios web de CS50 estos días. Pero es muy común en estos día para los sitios web aún no tener HTTPS en el inicio de la URL. Son sólo HTTP, dos puntos, slash slash. ¿Cuál es la implicación allí? Eso simplemente significa que todas estas cabeceras se encuentran dentro de ese sobre virtual. Y cualquiera que olfatea el aire o físicamente intercepta ese paquete físicamente puede mirar dentro y ver lo que cookie es. Y así el secuestro de sesión es simplemente una técnica que un adversario utiliza para rastrear los datos en el aire o en alguna red por cable, mirar dentro de este sobre y ver, oh. Veo que su cookie es 2kleu lo que sea. Déjenme seguir adelante y hacer una copia de su sello en la mano y ahora empezar a visitar Facebook o Gmail o lo que sea a mí mismo y acaba de presentar el exactamente el mismo handstamp. Y la realidad es, exploradores, así como servidores son realmente tan ingenuo. Si el servidor ve ese mismo galleta, su propósito en la vida debería ser decir, oh, que debe ser David, quien acaba de conectarse hace un poco. Déjame mostrarte este mismo usuario, presumiblemente, la bandeja de entrada de David o Facebook mensajes, o cualquier otra cosa en la que el conectado. Y la única defensa contra es simplemente cifrar todo dentro del sobre. Y por suerte, una gran cantidad de sitios como Facebook y Google y similares están haciendo que hoy en día. Pero las que no te vas perfectamente, perfectamente vulnerable. Y una de las cosas que usted puede hacer-- y una de las características agradables, francamente, de 1Password, el software He mencionado antes, es si lo instala en su Mac o PC, el software, además de almacenar su contraseñas, lo hará también advertirle si alguna vez intentas ingresando a un sitio web que es va a enviar su nombre de usuario y la contraseña sin cifrar y en el claro, por así decirlo. Correcto. Así secuestro de sesión se reduce a eso. Pero hay esta otra de manera que los encabezados HTTP puede utilizarse para aprovecharse de nosotros. Y esto sigue siendo una especie de tema. Esto es realmente sólo un adorable excusar que aguantar Cookie Monster aquí. Pero Verizon y AT & T y otros tomaron muchas críticas hace unos meses para la inyección, sin el conocimiento de los usuarios inicialmente, un encabezado HTTP adicional. Así que aquellos de ustedes que han tenido Verizon Wireless o celular de AT & T móviles, y que ha estado visitando sitios web a través de su teléfono, sin el conocimiento de que, después de su HTTP peticiones dejan Chrome o Safari o lo que sea en su teléfono, vaya a Verizon o router de AT & T, que presuntuosamente desde hace algún tiempo han sido la inyección de una cabecera que se ve así- un par clave-valor, donde la clave es simplemente X-UIDH para identificador único cabecera y algo más grande valor aleatorio. Y lo hacen de manera que puedan única identificar la totalidad de su tráfico web a personas que reciben su solicitud HTTP. Ahora, ¿por qué Verizon y AT & T y similares quieren que identificar de forma exclusiva a todos los sitios web que están visitando? AUDIENCIA: Mejor servicio al cliente. DAVID MALAN: mejor-- no. Es una buena idea, pero es no para un mejor servicio al cliente. ¿Qué otra cosa? Publicidad, ¿verdad? Para que puedan construir una red de publicidad, presumiblemente, por el que incluso si usted han desactivado las cookies, incluso si usted tiene especial software en su teléfono que tiene en incógnito mode-- ha. No hay modo de incógnito cuando el hombre en el middle-- literalmente, Verizon o AT & T- está inyectando datos adicionales sobre la cual usted no tiene control, revelando así quién eres para que el sitio web que resulta una y otra vez. Así que hay maneras de optar fuera de esto. Pero aquí, también, es algo que, francamente, la única manera para hacer retroceder en esto es dejar el transportista por completo, deshabilitarlo si es que le permiten, o, como ocurrió en este caso, hacer un poco de alboroto en línea, que las empresas realmente responden. Esto, también, es sólo otro adorable oportunidad para mostrar esto. Y vamos a echar un vistazo a, vamos a decir, una o dos amenazas finales. Así que hablamos de CS50 Finanzas aquí. Así te darás cuenta de que tenemos esta linda pequeño icono en el botón de inicio de sesión aquí. ¿Qué significa si me en lugar de utilizar este icono? Así que antes, después. Antes después. Lo que después de decir? Es seguro. Eso es lo que me gustaría que usted piense. Pero, irónicamente, es seguro porque tenemos HTTPS. Pero eso es lo fácil que es cambiar algo en un sitio web, ¿no? Todos ustedes saben un poco de HTML y CSS ahora. Y de hecho, es bastante fácil a-- y si no hizo it-- para cambiar el icono. Pero esto también es lo que empresas nos han enseñado a hacer. Así que aquí está una captura de pantalla del Banco del sitio web de Estados Unidos esta mañana. Y note, uno, que son me tranquiliza es que es un signo seguro en la parte superior izquierda. Y también tienen una icono de candado en el botón, lo que significa lo que para mí, el usuario final? En verdad nada, ¿verdad? Lo que importa es el hecho de que no es la gran verde URL encima de la tapa con HTTPS. Pero si nos acercamos a esto, es justo como yo, conociendo un poco de HTML y un poco de CSS, y diciendo: bueno, mi sitio web es seguro. Al igual, cualquiera puede poner un candado y la palabra segura de sesión en su página web. Y realmente no significa nada. ¿Qué significa algo es algo como esto, donde usted ve https: // el hecho de que Bank of America Corporation tiene esta gran barra verde, mientras que CS50 no lo hace, sólo significa que pagaron varios cientos dólares más para tener adicional la verificación hecha de su dominio en los EE.UU. para que los navegadores que se adhieren a esta norma será también mostrarnos un poco más que eso. Así que vamos a dejar las cosas en aquel, asustarte un poco más en poco tiempo. Pero el miércoles, vamos a estar unidos por Scaz de Yale para un vistazo a inteligencia artificial y lo que podemos hacer con estas máquinas. Nos vemos la próxima vez.