[Jouer de la musique] 

DAVID MALAN: Ceci est CS50, et ceci est le début de la semaine 10. Et vous souvenez peut-être de cette l'image de quelques semaines en arrière lorsque nous avons parlé Internet et comment il est effectivement mis en œuvre physiquement. Et vous souvenez peut-être qu'il ya en fait tout un tas de câbles ainsi que sans fil technologies que interconnexion tous les noeuds ou les routeurs et les autres ces techniques sur l'Internet. Et beaucoup de qui est underseas. 

Eh bien, il se trouve que ceux Underseas câbles sont un peu d'une cible. Et la conférence d'aujourd'hui est entièrement à propos de la sécurité, non seulement les menaces que nous avons tous le visage physiquement, mais aussi pratiquement, et également, vers l'extrémité de queue aujourd'hui, une partie des défenses que nous car les utilisateurs peuvent effectivement mis en place. 

Mais tout d'abord, une de la première et threat-- peut-être plus physique [LECTURE VIDÉO] -Pourriez La Russie soit la planification une attaque sur câbles sous-marins qui relient internet mondial? 

Navires et sous-marins -Russe tapi câbles sous-marins à proximité que portent presque tous de l'Internet dans le monde. 

Toute -Le Internet est emporté ces câbles. 

-Tout D'abord, quelle est la Internet fait sous l'eau? La dernière fois que je suis arrivé, je ne suis pas censé obtenir mon ordinateur mouillé. Deuxièmement, si vous me demandez comment Internet voyages d'un continent à, Je l'ai dit satellites ou lasers, ou, honnêtement, Je serais probablement avoir juste dit Internet. 

Et ce qui est arrivé dans le nuage? On m'a dit qu'il y avait un nuage. Rappel toi? Hey, mettons que dans le nuage. Il était comme l'Internet était une vapeur de l'information qui fait le tour de la Terre, et votre ordinateur était comme une louche que creusé ce que vous vouliez. 

Mais il se trouve à l'Internet est en fait sous-marin parce que ces câbles transportent plus de 95% des communications quotidiennes internet. Et les soucis de renseignement américains qui en période de tension ou de conflit, Russie pourrait recourir à les couper. Ce serait la plus grande perturbation à votre service Internet depuis votre voisin du dessus mettre un mot de passe sur sa connexion Wi-Fi gratuite. D'accord? Essayez le nom de son chien. [FIN LECTURE] DAVID MALAN: Avant que nous passons maintenant à certaines des menaces les plus virtuelles, quelques annonces. Donc nos amis un CrimsonEMS sont actuellement recruter de nouveaux techniciens ambulanciers, Techniciens médicaux d'urgence. Et cela est vraiment quelque chose particulièrement proche de mon cœur. 

Il ya longtemps, je rappelez-vous d'être dans un Ikea peu de temps après l'obtention du diplôme, en fait. Et comme je sortais du magasin, ce petit garçon qui était dans une poussette commencé à tourner littéralement bleu. Et il a été étouffé avec un certain morceau de nourriture qui avait sans doute obtenu coincé dans sa gorge. 

Et sa mère a été pris de panique. Les parents ont autour d'eux ont été pris de panique. Et moi-même, qui avait un peu de familiarité avec EMS seulement par des amis, complètement gelé. Et ce ne fut que grâce à quelque chose comme un maître nageur de 15 ans qui couru et fait savait quoi faire instinctivement et appelé à l'aide et en fait tiré le garçon de sa poussette et effectivement abordé la situation. 

Et pour moi, ce fut un tournant. Et il était en ce moment le temps où je décidé, bon sang, Je dois avoir mon acte savoir ensemble et effectivement comment répondre à ces sortes de situations. Et donc je me suis autorisé il ya des années comme un EMT. Et à l'école d'études supérieures ai-je roule sur l'ambulance de MIT pendant une certaine période de temps et comme ont gardé jusqu'à mon permis depuis. 

Et en fait, à ce jour, tous les du personnel CS50 ici à Cambridge sont effectivement certifié en RCR, ainsi, pour des raisons similaires. Donc, si vous êtes à tous intéressé, il ya ne sera jamais assez de temps dans la journée pour prendre quelque chose de nouveau. Mais si vous voulez un Nouvel An résolution, ne se joignent ces gars ici ou envisager de solliciter auprès de la Croix-Rouge pour la certification, soit ici ou à New Haven, ainsi. 

Donc, dernier déjeuner de CS50 est ce vendredi. Donc, si vous avez pas encore joints à nous, ou si vous avez et que vous voulez une fois de plus, ne pas aller sur le site de la CS50 remplir le formulaire là. Sachez, aussi, que nos amis Yale, professeur Scassellati, a été la production d'une AI, artificielle l'intelligence, la série pour nous qui débutera à ses débuts cette semaine sur la vidéo. Donc, en particulier si vous êtes intéressé dans la poursuite d'un projet final en quelque sorte liées à l'intelligence artificielle, traitement du langage naturel, robotique même, se rendent compte que ceux-ci volonté être une merveilleuse source d'inspiration pour cela. 

Et juste pour vous donner un teaser De ce fait, ici est Scaz lui-même. 

[LECTURE VIDÉO] 

-Un De l'vraiment super choses à propos de la science informatique est que même avec seulement quelques semaines de l'étude, vous allez être en mesure de comprendre nombreux artefacts intelligents et des dispositifs qui peuplent notre monde moderne. Dans cette courte vidéo série, nous allons regarder à des choses comme la façon dont Netflix est capable de suggérer et de recommander des films que je pourrais aime, comment il se fait Siri peut répondre à des questions que je dois, comment il est que Facebook peut reconnaître mon visage et étiqueter automatiquement moi dans une photographie, ou comment Google est capable de construire une voiture qui entraîne lui-même. 

Je vous souhaite donc vous joindrez à moi pour cette courte série de vidéos, la série CS50 AI. Je pense que vous verrez que vous savez beaucoup plus que vous pensiez que vous avez fait. [FIN LECTURE] DAVID MALAN: Donc ceux qui apparaîtra sur le site Web de cours plus tard cette semaine. Restez à l'écoute. Entre-temps, quelques annonces quant à ce qui nous attend. Donc, nous sommes ici. Ceci est dans notre conférence sur la sécurité. Mercredi prochain, Scaz et Andy, notre tête enseignement compatriote à New Haven, sera ici pour regarder intelligence artificielle lui-même pour un look à calcul pour communication-- comment construire des systèmes qui utilisent langue pour communiquer de ELIZA, si vous êtes familier avec ce logiciel d'antan, à Siri plus récemment et de Watson, qui vous pourrait savoir de Jeopardy ou similaire. 

Puis lundi prochain, nous sommes pas ici à Cambridge. Nous sommes à New Haven pour une seconde regarder l'intelligence artificielle avec Scaz et company-- Adversaires IA dans les jeux. Donc, si vous avez déjà joué contre l'ordinateur dans un jeu vidéo ou jeu mobile ou similaire, nous allons parler exactement comment that-- pour construire adversaires pour les jeux, comment représenter les choses sous les arbres de la hotte à l'aide des jeux comme le tic-tac-toe aux échecs au moderne réelle jeux vidéo, ainsi. 

Malheureusement, un jeu-questionnaire est peu de temps après. Plus de détails sur ce que sur ce CS50 site web plus tard cette semaine. Et notre dernière conférence à Yale être que vendredi après le quiz. Et notre dernière conférence à Harvard sera le lundi par la suite, par la nature de la programmation. 

Et en termes de jalons, Outre pset huit cette semaine; rapport de situation, qui sera un sanity check rapide entre vous et vos collègues de l'enseignement; hackathon, qui sera ici à Cambridge pour les étudiants de New Haven et de Cambridge semblables. Nous allons prendre soin de tous le transport de New Haven. La mise en oeuvre de la projet final sera dû. Et puis pour les deux campus il y aura une foire CS50 qui nous permet de prendre un coup d'oeil et de plaisir dans ce que tout le monde a accompli. 

En fait, je pensais que ce serait une bonne moment pour attirer l'attention sur ce dispositif ici, que nous avons utilisé pour une certaine quantité de temps ici, qui est un écran tactile agréable. Et effectivement, dernière année, nous avions une application $ 0,99 que nous téléchargées de l'App de Windows stocker en vue de dessiner sur l'écran. 

Mais franchement, il était très encombré. Il nous a permis de tirer sur la écran, mais il y avait, comme, beaucoup d'icônes ici. L'interface utilisateur était assez mauvais. Si vous vouliez changer certains paramètres, il y avait tellement de clics maudits. Et l'utilisateur interface-- ou, plus correctement, l'utilisateur experience-- était assez sous-optimale, en particulier son utilisation dans un environnement de conférence. 

Et donc nous avons tendu la main à un ami de la nôtre chez Microsoft, Bjorn, qui est en fait été suivant avec CS50 ligne. Et comme son projet final, Essentiellement, il a fait beaucoup de grâce prendre un certain entrée de notre part quant à exactement Les caractéristiques et l'expérience utilisateur nous voulons. Et il est allé ensuite sur la construction pour Windows cette application ici qui nous permet de draw-- oops-- et sort sur the-- wow. Merci. Pour dessiner et à écrire sur cet écran ici avec une interface utilisateur très minime. 

Donc, vous avez vu de moi, peut-être, appuyez sur jusqu'à ici très légèrement où maintenant nous peut souligner les choses en rouge. Nous pouvons passer et maintenant aller à texte blanc ici. Si nous voulons réellement supprimer l'écran, on peut le faire. Et si l'on préfère en fait un toile blanche, nous pouvons le faire. Alors il le fait terriblement peu par la conception et le fait bien. Alors que je Futz, espérons-le, beaucoup moins cette année en classe. 

Et grâce, aussi, à un protégé de son je porte aujourd'hui un petit anneau. Ceci est Benjamin, qui était stage avec Bjorn cet été. Donc, il est un petit anneau. Il est un peu plus grande que ma bague d'habitude. Mais par une petite molette sur le côté ici je peux effectivement déplacer les glissières gauche et droite, l'avant et à l'arrière, et fait avancer les choses sans fil de telle sorte que, un, je ne ai pas pour continuer à aller en arrière sur la barre d'espace Ici. Et de deux, je ne pas avoir un de ces stupides cliqueurs et préoccuper ma main en tenant la fichue chose tout le temps afin de simplement cliquer. Et sûrement, dans le temps, la volonté du matériel comme cela se super, super petit. 

Alors, bien sûr, ne pas hésiter de penser en dehors de la boîte et faire des choses et de créer choses qui ne sont même pas encore exister pour des projets finaux. Sans plus tarder, un oeil à ce qui l'attend comme vous plonger dans votre dernière projets au hackathon CS50 

[LECTURE VIDÉO] 

[Jouer de la musique] 

[RONFLEMENT] [FIN LECTURE] DAVID MALAN: Très bien. Donc le clip Stephen Colbert que je l'ai montré il ya quelques instants était en fait à la télévision il ya quelques jours. Et en fait, un couple des autres clips nous montrons aujourd'hui sont incroyablement récente. Et en fait, qui parle à la la réalité que tant de la technologie et, franchement, beaucoup d'idées nous avons parlé dans CS50 sont vraiment omniprésent. Et l'un des objectifs de le cours est certainement pour vous équiper avec les compétences techniques afin que vous pouvez réellement résoudre les problèmes programme, mais deux, de sorte que vous pouvez réellement prendre de meilleures décisions et prendre des décisions éclairées. Et en effet, tout au long de la thématique presse et vidéos en ligne et articles ces jours-ci est juste une effrayante l'incompréhension ou le manque de compréhension de la façon dont la technologie travaille, en particulier chez les politiciens. 

Et en effet, dans un peu nous allons jetez un oeil à un de ces détails, aussi bien. Mais littéralement juste durer la nuit a été je assis Bertucci'S, une locale franchise restaurant italien. Et je leur ai sauté sur Wi-Fi. Et je suis très rassuré pour voir qu'il est sécurisé. Et je savais que parce qu'il dit ici «Secure portail Internet" lorsque l'écran est venu. Donc, ce fut le petit invite qui vient dans Mac OS ou dans Windows lorsque vous vous connectez un réseau Wi-Fi pour la première fois. Et je devais lire leurs termes et les conditions et enfin cliquez sur OK. Et puis on m'a permis de continuer. 

Commençons donc à repenser ce que tous cela signifie et de prendre plus pour accordé ce que les gens nous disent quand nous rencontrer avec diverses technologies. Donc un, ce que signifie le fait que ceci est un portail Internet sécurisé? Que pouvait Bertucci de être me rassurer de? Audience: Les paquets envoyés avant et en arrière sont cryptées. DAVID MALAN: Bon. Les paquets envoyés de retour et-vient sont cryptées. Est-ce bien le cas? Si tel était le cas, que ferais-je avoir à faire ou ce que je devrais savoir? Eh bien, vous verriez un peu icône de cadenas dans Mac OS ou dans Windows disant que il ya en effet une certaine cryptage ou brouillage passe. Mais avant que vous pouvez utiliser un cryptée portail ou Wi-Fi, ce qui vous avez à taper habituellement? Un mot de passe. Je ne connais pas ce mot de passe, ni ai-je tape un tel mot de passe. Je simplement cliqué sur OK. Donc, cela est tout à fait dénué de sens. Cela ne veut pas d'un portail Internet sécurisé. Ceci est un portail internet insécurité 100%. Il n'y a absolument aucun cryptage aller sur, et tout ce qui est sa sécurisation est que les trois-mot la phrase sur l'écran il. 

Donc, cela ne signifie rien, nécessairement, technologiquement. Et un peu plus inquiétante, si vous avez réellement lire les termes et conditions, qui sont étonnamment lisible, était this-- "vous comprendre que nous nous réservons le droit de se connecter ou de surveiller le trafic à assurer que ces termes sont respectées. " Voilà donc un peu effrayant, si Bertucci de est en regardant mon trafic Internet. Mais plus que tout accord vous avez cliqué par l'aveuglette a sûrement dit qu'avant. 

Alors qu'est-ce qui fait signifie technologiquement? Donc, si il ya quelque effrayant gars ou une femme dans le dos qui est, comme, surveillance tout le trafic Internet, comment est-il ou elle accède que l'information exactement? Quels sont les technologiques un moyen par l'intermédiaire duquel que personne-- ou adversaire, plus generally-- peut être regardant notre trafic? 

Eh bien, si il n'y a pas de cryptage, ce qui sortes de choses pourraient-ils renifler, pour ainsi dire, une sorte de détecter dans l'air. Que voulez-vous regarder? Ouais? 

Audience: Les paquets envoyés à partir de votre ordinateur au routeur? 

DAVID MALAN: Ouais. Les paquets envoyés à partir de l'ordinateur à votre routeur. Donc, vous pourriez rappeler quand nous étions à New Haven, nous avons passé ces enveloppes, physiquement, tout au long de l'audience pour représenter des données en passant par Internet. Et certainement, si nous jetions eux par le public sans fil pour atteindre leur destination, toute personne peut sorte de la saisir et de faire une copie de celui-ci et effectivement voir ce qui est à l'intérieur de cette enveloppe. 

Et, bien sûr, ce qui est à l'intérieur de ces enveloppes est un certain nombre de choses, y compris l'adresse IP que vous essayez de l'accès ou le nom d'hôte, comme www.harvard.edu ou yale.edu que vous essayez d'accéder ou de tout autre chose. En outre, le chemin, vous savez de too-- pset que six à l'intérieur de requêtes HTTP sont something.html obtenir slash. Donc, si vous êtes en visite à une page spécifique, le téléchargement d'une image ou une vidéo spécifique, toutes ces informations est à l'intérieur de ce paquet. Et si quelqu'un là-bas dans la boîte de Bertucci être regarder que très mêmes données. Eh bien, ce sont d'autres menaces le long de ces lignes être conscient avant de vous juste commencer à accepter comme un fait ce que quelqu'un comme Bertucci de vous dit tout simplement? Eh bien, ce fut une article-- une série d'articles qui est sorti quelques mois en arrière. À la mode ces jours-ci sont ces téléviseurs intelligents dernier cri. Qu'est-ce qu'un smart TV, si vous avez entendu parler d'eux ou en avoir un à la maison? AUDIENCE: connectivité Internet? DAVID MALAN: Ouais, la connectivité Internet. Donc, en général, d'une télévision à puce est un TV avec connexion Internet et un utilisateur vraiment merdique interface qui rend il est plus difficile à utiliser effectivement le web parce que vous avez à utiliser, comme, en hausse, bas, à gauche, et à droite ou quelque chose sur votre télécommande seulement pour accéder à des choses qui sont tellement plus facile à faire sur un ordinateur portable. 

Mais le plus inquiétant dans une smart TV, et les téléviseurs Samsung dans ce cas particulier, était que les téléviseurs Samsung et les autres ces jours-ci viennent avec certains matériels pour créer ce qu'ils prétendent est un une meilleure interface utilisateur pour vous. Donc, vous pouvez en parler à certains de vos téléviseurs ces jours, semblable à Siri ou l'une quelconque des d'autres équivalents sur les téléphones mobiles. Donc vous pouvez dire les commandes, comme changer de canal, augmenter le volume, éteindre, ou similaire. Mais ce qui est l'implication de cette logique? Si vous avez la TV dans votre salon chambre ou le téléviseur au pied de votre lit vous endormir au son, ce qui est l'implication? Ouais? 

PUBLIC: Il pourrait y avoir quelque chose aller dans à travers le mécanisme pour détecter votre discours. DAVID MALAN: Ouais. AUDIENCE: qui pourrait être envoyés via Internet. Si elle est non cryptée, alors il est vulnérable. DAVID MALAN: En effet. Si vous avez un microphone intégré dans une TV et de son but dans la vie est, de par leur conception, à écouter à vous et à vous répondre, il est sûrement être l'écoute de tout ce que vous dites et ensuite traduire cela pour certaines instructions intégrées. Mais le hic est que la plupart de ceux-ci Téléviseurs ne sont pas parfaitement se SMART. Ils sont très dépendants de que la connexion Internet. 

Donc, tout comme Siri, lorsque vous parlez dans votre téléphone, envoie rapidement que les données à travers Internet à des serveurs d'Apple, ensuite récupérez une réponse, littéralement est le téléviseur Samsung et équivalents simplement d'envoyer tout ce que vous êtes dire dans votre salon ou chambre à leurs serveurs juste détecter at-il dit, allumer la télé ou éteindre le téléviseur? Et Dieu sait quoi d'autre pourrait être prononcé. Maintenant, il ya quelques façons pour atténuer cela, non? Comme ce qui ne fonctionne et ce que Siri Google et d'autres ne le font au moins défendre contre que le risque qu'ils sont écouter absolument tout? Il doit être activée en disant quelque chose comme, hey, Siri, ou salut Google ou etc., ou OK, Google ou similaire. 

Mais nous savons tous que ceux expressions genre de sucer, non? Comme je l'ai étais juste sitting-- fait la dernière fois Je étais à des heures de bureau à Yale, je pense, Jason ou l'un des facteurs de transcription hurlaient, comme, hey, Siri, hey, Siri et a été prise de mon téléphone faire les choses parce qu'il était trop proximale à mon téléphone réelle. Mais l'inverse est vrai aussi. Parfois, ces choses juste coup sur, car il est imparfait. Et en effet, naturel processing-- linguistique comprendre le phrasé d'un être humain et puis de faire quelque chose basé sur it-- est certainement imparfait. 

Maintenant, pire encore, certains vous pourriez avoir vu ou disposent d'une télévision où vous pouvez faire choses stupides ou new-age comme ce pour changer les canaux vers la gauche ou ceci pour changer les canaux vers la droite ou baisser le volume ou augmenter le volume. Mais qu'est-ce que cela signifie que le téléviseur est doté? Une caméra pointée sur vous à tout moment possibles. 

Et en fait, le brouhaha autour de Samsung Téléviseurs pour lesquels ils ont pris un certain Flack est que si vous lisez les termes et conditions de la TV-- la chose vous avez certainement jamais lu lors du déballage votre téléviseur pour la première time-- intégré là était un peu disclaimer dire l'équivalent de, un vous pourriez ne pas avoir personnelle conversations en face de ce téléviseur. Et voilà ce qu'il se réduit à. 

Mais vous ne devriez même pas besoin d'être dit que. Tu devrais être capable de déduire de la réalité que microphone et caméra littéralement en me montrant tout le temps peut-être est plus mal que de bien. Et franchement, je le dis peu hypocritement. Je dois littéralement, outre ces caméras, Je ai un tout petit appareil ici dans mon ordinateur portable. Je ai une autre ici. Je dois le dans mon téléphone portable sur les deux côtés. Donc, de peur que je l'ai mis bas le mauvais sens, ils peut encore me regarder et écouter pour moi. 

Et tout cela pourrait être passe tout le temps. Donc, ce qui empêche mon iPhone ou Android téléphone de faire ça tout le temps? Comment savons-nous que Apple et une personne rampant chez Google, ne sont pas à l'écoute dans cette conversation très par le téléphone ou les conversations Je dois à la maison ou au travail? 

AUDIENCE: Parce que nos vies sont-ce pas intéressant. 

DAVID MALAN: Parce que notre vies ne sont pas si intéressant. Qui est en fait une réponse valide. Si nous ne sommes pas inquiets sur une menace particulière, il ya une sorte de qui se soucie aspect à elle. Peu vieux moi ne vais pas pour être vraiment une cible. Mais ils pourraient certainement. 

Et même si vous voyez certains les choses de fromage sur les téléviseurs et les films, comme, oh, passons sur la grille et-- comme Batman le fait beaucoup, en fait, et effectivement peut voir Gotham, ce qui est passe par voie de téléphones portables de personnes ou analogue. Certains de ce est un peu futuriste, mais nous sommes à peu près là ces jours. 

Presque chacun d'entre nous sont se promener avec GPS transpondeurs qui est dire Apple et Google et tout le monde qui veut savoir où nous sommes dans le monde. Nous avons un microphone. Nous avons un appareil photo. Nous disons des choses comme snapchat et d'autres applications tout le monde nous le savons, l'ensemble de leurs numéros de téléphone, l'ensemble de leurs adresses e-mail. Et là encore, l'un des plats à emporter aujourd'hui, je l'espère, est au moins pause un peu avant aveuglément dire, OK lorsque vous voulez que le commodité de snapchat Savoir qui tous vos amis est. Mais à l'inverse, maintenant snapchat connaît tout le monde vous le savez et tous les petits billets que vous pourriez ont fait dans vos contacts. 

Donc, ce fut à point nommé, aussi. Il ya quelques mois, snapchat lui-même n'a pas été compromise. Mais il y avait eu une certaine applications tierces qui a rendu plus facile d'épargner Et enclenche la capture était que ce service tiers elle-même a été compromise, en partie parce que le service de snapchat soutenu une option qu'ils ont probablement ne devrait pas avoir, ce qui a permis cet archivage par un tiers. 

Et le problème était que les archives de, comme, 90.000 clichés, je pense, ont finalement été compromise. Et ainsi vous pourriez prendre un certain confort dans des choses comme snapchat étant éphémère, droit? Vous disposez de sept secondes à regarder ce message inapproprié ou une note, et puis il disparaît. Mais l'un, la plupart de vous ont probablement deviné Comment prendre des screenshots maintenant, qui est le moyen le plus facile de contourner cela. Mais deux, il n'y a rien qui empêche la société ou la personne est sur Internet d'intercepter que données, potentiellement, aussi bien. 

Donc, ce fut littéralement juste un jour ou deux auparavant. Ce fut un bel article sur un titre site web en ligne. "Worm Epic Fail-- Puissance Ransomware détruit accidentellement Les données de la victime pendant le cryptage ". Donc, une autre arraché de la manchettes genre de chose ici. Donc, vous pourriez avoir entendu parler de logiciels malveillants, qui est software-- malveillants si mauvais logiciels que les personnes ayant trop de temps libre écrire. Et parfois, il n'a tout simplement des choses stupides comme supprimer des fichiers ou envoyer du spam ou autre. 

Mais parfois, et de plus en plus, il est plus sophistiqué, non? Vous savez tous comment barboter dans cryptage. Et César et Vigenère ne sont pas super sécurisé, mais il ya d'autres, certainement, qui sont plus sophistiqués. Et donc ce que cet adversaire a fait a écrit un morceau de malware qui en quelque sorte infecté un tas de les ordinateurs des gens. Mais il était un peu un idiot et a écrit une version boguée de ce malware de telle sorte que quand il ou elle mis en place le code-- oh, nous sommes obtenir beaucoup de-- désolé. Nous recevons beaucoup de frappe sur le microphone. D'ACCORD. 

Alors, que le problème était que il ou elle a écrit certains mauvais code. Et donc ils ont généré pseudo-aléatoire une clé de cryptage avec lequel pour crypter Les données de quelqu'un malicieusement, puis accidentellement jeté à une distance de la clé de chiffrement. Ainsi, l'effet de cette malware n'a pas été comme prévu, les données de rançon quelqu'un par son disque dur cryptage puis attend 800 $ US en échange pour la clé de cryptage, après quoi la victime pouvait décrypter ses données. Plutôt, le méchant tout simplement crypté toutes les données sur leur disque dur, accidentellement supprimer la clé de chiffrement, et a obtenu plus d'argent hors de lui. Mais cela signifie aussi que la victime est vraiment une victime parce que maintenant il ou elle ne peut pas recouvrer les données, sauf si ils ont fait quelque vieille école sauvegarde. 

Donc, ici aussi est une sorte de réalité que vous pourrez lire sur ces jours. Et comment pouvez-vous défendre contre cela? Eh bien, cela est tout un bidon des vers, sans jeu de mots, sur les virus et les vers et autres. Et il est certainement le logiciel avec lequel vous pouvez vous défendre. Mais mieux que cela est juste être intelligent à ce sujet. 

En fait, je haven't-- ceci est l'un des ceux-ci font que je dis, pas comme je fais les choses, perhaps-- je ne l'ai pas vraiment utilisé logiciel antivirus dans les années parce que si vous savez ce qu'il faut généralement chercher, vous pouvez défendre contre plus tout sur votre propre. Et effectivement, en temps opportun ici Harvard-- y avait un bogue ou un problème la semaine dernière, où Harvard est clairement, comme, beaucoup de trafic sur le réseau de surveillance. Et vous tous, même visitant le site Web de CS50 aurait obtenu un dicton alerte que vous ne pouvez pas visiter ce site. Il est pas sécurisé. Mais si vous avez essayé visite Google ou d'autres sites, aussi, ceux, aussi, étaient insécurité. 

Cela est parce que Harvard, aussi, a une sorte de système de filtration qui est de garder un œil sur sites potentiellement malveillants pour nous aider à protéger contre nous. Mais même ces choses sont clairement imparfaite, sinon Buggy, eux-mêmes. 

Donc ici-- si vous êtes curieux, je vais laisser ces diapositives jusqu'à online-- est l'information réelle que l'adversaire a donné. Et il ou elle était demandant au bitcoin-- qui est un currency-- virtuelle 800 $ US réellement décrypter vos données. Malheureusement, cette a été complètement déjoué. Alors maintenant, nous allons voir quelque chose de plus politique. Et encore une fois, le but ici est pour commencer à réfléchir à la façon vous pouvez prendre des décisions éclairées. Et ceci est quelque chose passe actuellement au Royaume-Uni. Et ce fut un merveilleux slogan d'un article à ce sujet. Le Royaume-Uni est l'introduction, comme vous verrez, une nouvelle surveillance projet de loi par lequel le Royaume-Uni est proposant de surveiller tout les Britanniques le font pour une période d'un an. Et puis les données sont jetés. Ils ont dit, «il serait servir une tyrannie bien. " 

Donc, nous allons jeter un regard avec un ami de M. Colbert. 

[LECTURE VIDÉO] 

-Welcome, Bienvenue, bienvenue à "la semaine dernière ce soir." Merci beaucoup pour nous rejoindre. Je suis John Oliver. Juste le temps pour un rapide récapitulatif de la semaine. Et nous commençons avec le Royaume-Uni, Magic kingdom moins de la Terre. 

Cette semaine, le débat fait rage sur il sur une nouvelle loi controversée. 

-Le Gouvernement britannique est nouvelles lois dévoilement de surveillance qui étendent considérablement sa puissance de surveiller les activités des gens en ligne. 

-Theresa Mai il appelle il un permis d'exploitation. D'autres ont appelé un la charte de Snooper, ont-ils pas? 

-Eh Bien, tenez because-- de Snooper charte est pas l'expression droite. Cela ressemble à la accord de huit ans est contraint de signer prometteuse à frapper avant qu'il ne pénètre dans la chambre de ses parents. Dexter, signer la charte de ce fouineur ou nous ne pouvons être tenus responsables de ce qui vous pourriez voir. 

Ce projet de loi pourrait écrire dans la loi une énorme invasion de la vie privée. 

-Sous Les plans, une liste de sites visité par toute personne au Royaume-Uni seront enregistrées pendant un an et pourrait être mis à la disposition de la police et de la sécurité prestations de service. 

-Ce Communications données ne seraient pas révéler la page Web exacte que vous regardiez, mais il serait montrer le site il était sur. -D'ACCORD. Donc, il ne serait pas stocker le page exacte, tout le site. Mais cela est encore beaucoup d'informations. Par exemple, si quelqu'un visité orbitz.com, vous sauriez qu'ils étaient penser à faire un voyage. Si ils ont visité yahoo.com, vous seriez savoir qu'ils ont juste eu un accident vasculaire cérébral et a oublié le mot "google". Et si ils ont visité vigvoovs.com, vous sauriez qu'ils sont cornée et leur touche B ne fonctionne pas. 

Et pourtant, pour tout le balayage pouvoirs projet de loi contient, Britannique de l'Intérieur Theresa May insiste sur le fait que les critiques ont soufflé sur de proportion. 

-Un Enregistrement de connexion à Internet est un fiche du service de communication qu'une personne a utilisé, pas un record de chaque page web, ils ont accédé. Il est tout simplement l'équivalent moderne d'une facture de téléphone détaillée. 

-Ouais, Mais ce ne est pas tout à fait aussi rassurante car elle pense qu'il est. Et je vais vous dire pourquoi. Tout d'abord, je ne veux pas le gouvernement regarder mon téléphone appelle soit. Et d'autre part, une l'histoire de la navigation sur Internet est un peu différent de une facture de téléphone détaillée. Personne ne supprime frénétiquement leur téléphone projet de loi chaque fois qu'ils terminer un appel. 

[FIN LECTURE] DAVID MALAN: Un modèle émergent de la façon dont je me prépare pour la classe. Il est juste de regarder la télévision pendant une semaine et voir ce qui sort, clairement. Alors que, aussi, était tout simplement de la dernière nuit "la semaine dernière ce soir." Donc, nous allons commencer à parler maintenant à propos de certaines des défenses. En effet, pour quelque chose comme ça, où les Britanniques proposent de tenir un journal de ce genre des données, où pourrait-il être viennent-ils? Eh bien, à partir de rappeler pset six, pset sept, et huit pset maintenant qu'à l'intérieur de ceux virtuel envelopes-- au moins pour HTTP-- sont des messages qui ressemblent à ceci. Et ce message, bien sûr, est non seulement adressée à une adresse IP spécifique, que le gouvernement ici ou là pourrait certainement vous connecter. Mais même à l'intérieur de cette enveloppe est une mention explicite du nom de domaine que ça visité. Et si il ne suffit pas slash, il pourrait réellement être un nom de fichier spécifique ou une image spécifique ou un film ou, encore, rien de intérêt pour vous pouviez certainement être intercepté si la totalité du trafic du réseau est en quelque sorte étant proxy à travers des serveurs gouvernementales, comme cela se produit déjà dans certains pays, ou si sont en quelque sorte des inconnus ou accords non divulgués, comme cela a déjà eu lieu dans ce pays entre certains grands players-- Les FAI et les compagnies de téléphone et l'like-- et le gouvernement. 

Si drôle story-- la dernière fois que je choisi badplace.com du haut de ma tête comme exemple d'un sommaire site web, je ne l'ai pas fait vétérinaire préalable qu'elle soit ou non en fait conduit à une badplace.com. Heureusement, ce domaine nom est simplement garée, Et il n'a pas fait conduire à une badplace.com. Nous continuerons donc à utiliser qu'un pour le moment. Mais on me dit qui aurait pu retour de flamme très mal ce jour-là. 

Donc, nous allons commencer à parler maintenant à propos de certaines défenses et ce que les trous là peut-être même dans ceux-ci. Donc, les mots de passe est une sorte de go-to répondre pour un grand nombre de mécanismes de défense, non? Juste un mot de passe protéger, puis qui va garder les adversaires sur. Mais qu'est-ce que cela signifie réellement? 

Donc, rappeler des pirates deux, en arrière si vous abordé that-- quand vous avez eu à casser des mots de passe dans un file-- ou même dans le problème mettre en sept ans, quand nous vous donnons un échantillon SQL fichier de quelques noms d'utilisateur et mots de passe. Ce sont les noms d'utilisateur virent, et ceux-ci étaient les hashs que nous avons distribué pour la édition pirate du problème posé deux. Et si vous vous demandez tout cela temps ce que les mots de passe étaient réels, ce qui est, en fait, ils décryptent à qui vous pourriez avez craqué dans pset deux, ou vous auriez pu ludique les figuré dans sept problème posé. Tout d'entre eux ont une certaine espérons sens mignon ici ou à New Haven. 

Mais la livraison est que chacun d'eux, au moins ici, sont assez courts, assez facile à deviner. Je veux dire, sur la base de la liste ici, qui sont peut-être le plus facile de se fissurer, de comprendre en écrivant logiciel qui devine et vérifie juste, Dirais-tu? AUDIENCE: Mot de passe. DAVID MALAN: Mot de passe de assez bon, non? Et il est just-- un, il est un mot de passe très commun. En fait, chaque année, il ya une liste de les mots de passe les plus courants dans le monde. Et entre guillemets "mot de passe" est généralement au sommet de cette liste. Deux, il est dans un dictionnaire. Et vous savez de problème fixé cinq qu'il est pas hard-- que pourrait être un consuming-- peu de temps mais il est pas si difficile à charger un grand dictionnaire en mémoire et ensuite l'utiliser pour sorte de deviner et chèque tous les mots possibles dans un dictionnaire. 

Quoi d'autre pourrait être assez facile à deviner et vérifier? Ouais? 

PUBLIC: La répétition de lettres. 

DAVID MALAN: La répétition de symboles et de lettres. Alors sorte de sorte de. Ainsi, dans fact-- et nous ne rentrerons pas dans une grande ici-- détail tous ces ont été salés, que vous pourriez rappeler à partir de problème réglé la documentation de sept ans. Certains d'entre eux ont différents sels. Ainsi, vous pouvez effectivement éviter d'avoir répétition de certains personnages tout simplement les mots de passe par relargage différemment. 

Mais les choses comme 12345, qui est une chose assez facile à deviner. Et franchement, le problème avec tous les mots de passe de ces est qu'ils sont tous simplement en utilisant 26 caractères possibles, ou peut-être 52 avec un peu de majuscules, puis 10 lettres. Je ne suis pas en utilisant des caractères funky. Je ne suis pas en utilisant des zéros pour les O ou celles pour Moi ou L's ou-- si l'un de vous pensez vous être intelligent, bien que, par ayant un zéro pour un joint dans votre mot de passe ou-- OK, je l'ai vu sourire quelqu'un. Donc, quelqu'un a un zéro pour un joint dans son mot de passe. 

Vous n'êtes pas effectivement être aussi intelligent que vous pourriez penser, non? Parce que si plus d'un des nous fait cela dans le room-- et je suis coupable de ce que well-- ainsi, le genre de le faire de si tout le monde, qu'est-ce que l'adversaire a à voir? Il suffit d'ajouter zéros et de uns et un couple de other-- Fours peut-être pour H's-- à son arsenal et tout simplement se substituer à celles lettres pour les mots du dictionnaire. Et il est juste une supplémentaire boucle ou quelque chose comme ça. 

Alors, vraiment, la meilleure la défense des mots de passe est quelque chose de beaucoup, beaucoup plus random-semblant alors ceux-ci. Maintenant, bien sûr, les menaces contre les mots de passe inclure parfois des courriels comme ça. Donc, je viens de recevoir ce littéralement dans ma boîte de réception, il ya quatre jours. Ceci est de la Bretagne, qui travaille apparemment à harvard.edu. Et elle m'a écrit comme un utilisateur webmail. "Nous venons remarqué que votre e-mail compte a été connecté sur un autre ordinateur dans un autre emplacement, et vous êtes à vérifier votre identité personnelle. " 

Donc thématique dans de nombreux e-mails comme ce qui sont des exemples de phishing attacks-- P-H-I-S-H-I-N-G-- où quelqu'un essaie de pêcher et faire de informations sur vous, généralement par un email comme celui-ci. Mais ce sont quelques-uns des révélateurs signes que ce l'est pas, en fait, un courriel légitime Université de Harvard? Qu'est ce que c'est? 

Donc, la mauvaise grammaire, la capitalisation bizarre, comment certaines lettres sont capitalisés dans certains endroits. Il ya une certaine indentation bizarre dans quelques endroits. Quoi d'autre? Qu'est ce que c'est? Eh bien, que certainement helps-- la grosse boîte jaune qui dit que cela pourrait être le spam de Google, qui est certainement utile. 

Donc, il ya beaucoup de signes révélateurs ici. Mais la réalité est ces e-mails doivent travailler, non? Il est assez pas cher, sinon gratuitement, envoyer des centaines ou des milliers de courriels. Et il est non seulement en envoyant hors de votre propre fournisseur d'accès. Une des choses qui malware a tendance à do-- si les virus et vers qui accidentellement infecter les ordinateurs ou parce qu'ils ont été écrit par l'un des adversaries-- les choses qu'ils font est juste de désabonnement spam. 

Alors qu'est-ce qu'il ne existe dans le monde, en fait, sont des choses appelées botnets, qui est une façon élégante de dire que les personnes ayant un meilleur codage compétences que la personne qui écrit que la version boguée de logiciels, logiciels ont effectivement écrite que des gens comme nous unsuspectingly installer sur nos ordinateurs puis commencer à courir derrière les scènes, à notre insu. Et ceux malware programmes communiquent entre eux. Ils forment un réseau, un botnet si vous voulez. Et généralement, la plupart sophistiquée d'adversaires a une sorte de contrôle à distance sur des milliers, sinon des dizaines de milliers, des ordinateurs par simple envoi un message sur l'Internet que tous ces robots, pour ainsi dire, sont capables d'entendre ou de temps en temps demande de certains site central puis peut être contrôlée pour envoyer du spam. 

Et ces choses de mails peuvent être vient de vendre au plus offrant. Si vous êtes une entreprise ou une sorte de société de frange cela ne veut pas se soucient vraiment de la sorte d'éthique de spammer vos utilisateurs mais vous voulez juste frappé sur un million de personnes et nous espérons que 1% de eux-- qui est encore un nombre non négligeable buyers-- de potentiel vous pouvez réellement payer ces adversaires dans le genre de marché noir de toutes sortes d'envoyer ces spams par l'intermédiaire de leurs réseaux de zombies pour vous. 

Donc, il suffit de dire, ce ne sont pas un courriel particulièrement convaincante. Mais même Harvard et Yale et comme souvent faire des erreurs, en ce que nous savons de quelques semaines dos que vous pouvez faire un lien dire www.paypal.com. Et il semble qu'il y va. Mais, bien entendu, il ne faisons pas réellement. 

Et ainsi de Harvard et de Yale et d'autres ont certainement été coupable au fil des ans en envoyant des e-mails qui sont légitimes, mais ils contiennent des liens en eux. Et nous, en tant qu'êtres humains, avons été formés par tri des fonctionnaires, assez souvent, effectivement il suffit de suivre liens que nous recevons dans un courriel. Mais même cela est pas la meilleure pratique. Donc, si vous ne recevez jamais un email comme this-- et peut-être il est de Paypal ou Harvard ou Yale ou Bank of America ou encore like-- vous ne devez pas cliquer le lien, même si elle semble légitime. Vous devez taper manuellement que vous URL. Et franchement, voilà ce que l'administrateur système devrait nous dire de faire de telle sorte que nous ne sommes pas trompés en faisant cela. 

Maintenant, combien d'entre vous, peut-être par regardant votre siège, mots de passe ont écrit quelque part? Peut-être dans un tiroir de votre chambre d'étudiant ou peut-être under-- dans un sac à dos quelque part? Portefeuille? Non? 

AUDIENCE: Dans une boîte postale ignifuge? 

DAVID MALAN: Dans une boîte postale ignifuge? D'ACCORD. Voilà donc mieux qu'un note collante sur votre moniteur. Alors, bien sûr, quelques-uns des vous insistez pas. Mais quelque chose me dit que ça pas nécessairement le cas. Alors que diriez-un facile, question-- plus susceptibles combien d'entre vous sont en utilisant la même mot de passe pour plusieurs sites? Ah d'accord. Maintenant, nous sommes en étant honnête. 

Bien. Voilà donc d'excellentes nouvelles, non? Parce que si cela signifie si un seul de ceux sites que vous utilisez est tout compromis, maintenant l'adversaire a l'accès à plus de données vous concernant ou plusieurs exploits potentiels. Voilà donc une question facile à éviter. Mais combien d'entre vous ont un mot de passe facile à deviner assez? Peut-être pas aussi mauvais que cela, mais quelque chose? Pour certains site stupide, non? Il est pas à haut risque, n'a pas de carte de crédit? Chacun de nous. Comme, je dois même des mots de passe sont probablement juste 12345, sûrement. Alors maintenant, essayez de vous connecter dans chaque site Web vous pouvez penser avec malan@harvard.edu et 12345 et voir si cela fonctionne. 

Mais nous faisons cela, aussi. Alors pourquoi? Pourquoi tant d'entre nous ont soit assez des mots de passe faciles ou les mêmes mots de passe? Quel est le monde réel justification pour cela? Il est plus facile, non? Si je l'ai dit à la place, académiquement, vous les gars devrait vraiment être le choix les mots de passe pseudo-aléatoires que sont au moins 16 caractères de long et ont une combinaison de lettres alphabétiques, des chiffres et des symboles, l'enfer qui va pour être en mesure de le faire ou se souvenir de ces mots de passe, et encore moins pour chacun et chaque site possible? 

Alors, quelle est une solution viable? Eh bien, l'un des plus grand emporter aujourd'hui, aussi, de façon pragmatique, serait être, honnêtement, pour commencer utilisant une sorte de gestionnaire de mot de passe. Maintenant, il ya des aspects positifs et inconvénients de ces choses, aussi. Ce sont deux que nous ont tendance à recommander dans CS50. One appelé bouton 1Password. Celui-ci est appelé LastPass. Et certains d'entre vous pourraient utiliser ces déjà. Mais il est généralement une morceau de logiciel qui ne facilite générer grande les mots de passe pseudo-aléatoires que vous ne peut pas éventuellement le souvenir d'un homme. Il stocke les pseudo- mots de passe dans sa propre base de données, je l'espère sur votre disque locale drive-- crypté, mieux encore. Et tout ce que vous, l'humain, se rappeler, généralement, est un mot de passe maître, qui probablement va être super long. Et peut-être qu'il est pas de caractères aléatoires. Peut-être qu'il est, comme, une phrase ou un court paragraphe que vous pouvez vous souvenir et vous pouvez taper une fois par jour pour déverrouiller votre ordinateur. 

Donc, vous utilisez un très fort mot de passe pour protéger et crypter tous vos autres mots de passe. Mais maintenant vous êtes dans le l'habitude d'utiliser des logiciels Vous aimez cette pseudo-aléatoire pour générer mots de passe sur tous les sites Web tu visites. Et en effet, je ne peux disent maintenant confortablement, en 2015, Je ne sais pas la plupart des mes mots de passe plus. Je sais que mon mot de passe maître, et je tape ce que, sans le savoir, une ou plusieurs fois par jour. Mais l'avantage est que maintenant, le cas échéant un de mes comptes est compromise, il n'y a aucun moyen quelqu'un est va utiliser ce compte pour entrer dans une autre aucune raison de mes mots de passe sont plus les mêmes. 

Et certainement, personne, même si il ou elle écrit un logiciel contradictoire à brute forcer les choses et deviner tout passwords-- possible les chances qu'ils vont choisir mes 24 caractères longs mots de passe est tellement, tellement faible que je ne suis pas inquiets de cette menace plus. 

Alors, quel est le compromis ici? Cela semble merveilleux. Je suis tellement plus sécuritaire. Quel est le compromis? Ouais? 

Public: Durée. DAVID MALAN: Temps. Il est beaucoup plus facile à tapez 12345 et je suis connecté en rapport à quelque chose qui est 24 caractères ou un court paragraphe. Quoi d'autre? 

Audience: Si quelqu'un brise votre mot de passe maître. DAVID MALAN: Ouais. Donc, vous êtes genre de changement le scénario de menace. Si quelqu'un devine ou chiffres out ou lit le post-it dans votre coffre-fort de fichiers sécurisé, le mot de passe maître, vous avez, maintenant tout est compromis lequel Auparavant, il était peut-être juste un seul compte. Quoi d'autre? 

Public: Si vous souhaitez utiliser une de vos comptes sur un autre appareil et vous ne devez pas LastPass [inaudible]. 

DAVID MALAN: Ouais, voilà une sorte de catch, aussi. Avec ces outils, aussi, si vous ne disposez pas de votre ordinateur et vous êtes dans, comme, un café ou que vous soyez à la maison d'un ami ou d'un laboratoire d'informatique ou ailleurs, et que vous voulez se connecter à Facebook, vous ne savez même pas ce que votre mot de passe Facebook est. Maintenant, parfois, vous pouvez atténuer cela en ayant une solution que nous parlerons dans un instant appelée authentification à deux facteurs Facebook lequel vous texte ou enverra un message codé spécial à votre téléphone ou un autre appareil que vous portez autour sur votre trousseau avec qui vous pouvez vous connecter. Mais voilà, peut-être, si vous êtes ennuyeux dans le sous-sol du centre des sciences ici ou ailleurs sur le campus de New Haven. Vous pourriez ne pas avoir de signal. Et donc ce est pas nécessairement la solution. Donc, il est vraiment un compromis. Mais ce que je voudrais vous encourager à do-- si vous allez sur le site de CS50, nous avons effectivement organisé pour la première de ces entreprises pour une licence de site, pour ainsi dire, pour tous les élèves CS50 de sorte que vous ne devez pas payer les 30 $ ou alors il coûte normalement. Pour Mac et Windows, vous pouvez vérifier 1Password gratuitement sur le site Web de CS50, et nous allons vous connecter avec ça. 

Réaliser, aussi, que certains ces tools-- y compris LastPass dans une de ses forms-- est nuage basée, comme Colbert dit, ce qui signifie vos mots de passe encryptedly sont stockées dans le nuage. L'idée, il est que vous pouvez aller à une personne au hasard ou à l'ordinateur d'un ami et vous connecter à votre Facebook compte ou similaires parce que vous allez d'abord à lastpass.com, accéder à votre mot de passe, puis saisir. Mais quel est le scénario de menace là-bas? Si vous stockez des choses dans le nuage, et vous êtes accéder à ce site sur certains ordinateur inconnu, ce que votre ami pourrait faire à vous ou à vos frappes au clavier? D'ACCORD. Je serai avancer manuellement glisse ici le sort. 

Keylogger, non? Un autre type de malware est un keylogger, qui est juste un programme qui fait enregistre tout ce que vous tapez. Donc, là aussi, il est probablement mieux de avoir une certaine dispositif secondaire comme ça. 

Alors, quelle est authentification à deux facteurs? Comme son nom l'indique, il est vous avez non pas un mais deux facteurs avec lesquels pour authentifier à un site Web. Donc, plutôt que d'utiliser simplement un mot de passe, vous avez une autre deuxième facteur. Or, que généralement est, une, facteur est quelque chose que vous savez. Donc, quelque chose en quelque sorte dans l'oeil de votre esprit, qui est votre mot de passe que vous avez mémorisé. Mais deux, pas autre chose que vous savez ou avez mémorisé mais quelque chose que vous avez physiquement. L'idée étant ici votre menace plus pourrait être une personne au hasard sur l'Internet qui peut tout simplement deviner ou comprendre votre mot de passe. Il ou elle doit avoir physique accès à quelque chose que vous avez, ce qui est encore possible et encore, peut-être, d'autant plus physiquement en danger. Mais il est au moins un autre type de menace. Il est pas un million de personnes sans nom là-bas essayer d'obtenir à vos données. Maintenant, il est un très spécifique personne, peut-être, que si cela est un problème, que ce un autre problème tout à fait, ainsi. 

Donc ce qui existe généralement pour les téléphones ou d'autres appareils. Et, en fait, Yale juste roulé ce à la mi-semestre, tels ce qui n'a pas d'incidence des gens dans cette salle. Mais ceux d'entre vous suit long à New Haven savoir que si vous connectez dans votre ID yale.net, en plus de la saisie de votre nom d'utilisateur et votre mot de passe, vous êtes alors invité à cela. Et, par exemple, ceci est une Je pris ce matin capture d'écran quand je connecter à mon compte Yale. Et il me envoie l'équivalent d'un message texte à mon téléphone. Mais en réalité, je l'ai téléchargé une application à l'avance que Yale distribue maintenant, et je dois maintenant il suffit de taper dans le code qu'ils envoient à mon téléphone. 

Mais pour être clair, le l'envers de cela est que maintenant, même si chiffres quelqu'un mon mot de passe Yale, je suis en sécurité. Ce n'est pas assez. Voilà une seule clé, mais je besoin de deux pour débloquer mon compte. Mais ce qui est l'inconvénient, peut-être, du système de Yale? Et nous vous ferons savoir Yale. Quel est l'inconvénient? Qu'est ce que c'est? Si vous ne disposez pas de service cellulaire ou si vous ne pas avoir une connexion Wi-Fi gratuite parce que vous êtes seulement dans un sous-sol ou quelque chose, vous pourrait ne pas être en mesure de faire passer le message. Heureusement, dans ce cas particulier, cela va utiliser le Wi-Fi ou autre chose, qui travaille autour de lui. Mais un scénario possible. Quoi d'autre? Vous pourriez perdre votre téléphone. Vous ne l'avez pas juste. La batterie meurt. Je veux dire, il ya un certain nombre scénarios d'ennuyeux mais scénarios possibles qui pourraient se produire que vous faire regretter cette décision. Et le pire possible résultat, franchement, puis serait pour les utilisateurs de désactiver cette complètement. Donc, il ya toujours aller être cette tension. Et vous devez trouver vous-même comme une sorte d'utilisateur d'un sweet spot. Et pour ce faire, prendre une couple des suggestions concrètes. Si vous utilisez Google Gmail ou Google Apps, savoir que si vous allez à cette adresse URL ici, vous pouvez activer deux facteurs authentification. Google appelle la vérification en 2 étapes. Et vous cliquez sur Configuration, alors vous faites exactement cela. Voilà une bonne chose à faire, en particulier ces jours parce que, grâce à des cookies, vous êtes connecté dans presque toute la journée. Donc, vous avez rarement tapez votre mot de toute façon. Donc, vous pourriez faire une fois semaine, une fois par mois, une fois par jour, et il est moins d'une grande traiter que dans le passé. 

Facebook, aussi, a ce. Si vous êtes un peu trop lâche avec le typage votre mot de passe Facebook en amis ' ordinateurs, permettre au moins à deux facteurs authentification pour que cet ami, même si il ou elle a un enregistreur de frappe, ils ne peuvent pas entrer dans votre compte. Eh bien, pourquoi est-ce? Ne pourraient-ils simplement connecter le code, je l'ai tapé sur mon téléphone que Facebook a envoyé à moi? AUDIENCE: [inaudible]. DAVID MALAN: Ouais. Le logiciel bien conçu va changer ces codes qui sont envoyés à votre téléphone toutes les quelques secondes ou à chaque fois et que, oui, même si il ou elle figure dehors ce que votre code est, vous êtes toujours sûr car il aura expiré. Et ceci est ce que ça donne comme sur le site de Facebook. 

Mais il ya une autre approche tout à fait. Donc, si ce genre de compromis ne sont pas particulièrement séduisante, un principe général de sécurité serait être, eh bien, juste au moins les choses d'audit. Ne pas sorte de mettre votre tête dans le sable et ne sait jamais si ou quand vous avez été compromise ou attaqués. Au moins mettre en place un mécanisme qui vous informe instantanément si quelque chose anormale est arrivé de sorte que vous au moins étroite la fenêtre de temps au cours de lequel quelqu'un peut faire des dégâts. 

Et par cela, je veux dire la following-- sur Facebook, par exemple, vous pouvez activer ce ils appellent les alertes de connexion. Et en ce moment, je me suis permis email Identifiez alertes mais pas de notifications. Et qu'est-ce que cela signifie est que si les avis Facebook Je l'ai noté dans un nouveau computer-- comme je ne ai pas un cookie, il est une adresse IP différente, il est un type de computer-- différente ils seront, dans ce scénario, envoyez moi un email disant hey, David. On dirait que vous vous êtes connecté à partir d'un ordinateur inconnu, juste FYI. 

Et maintenant, mon compte est peut-être compromis, ou mon ami gênant aurait pu se connecter à mon compte affichant maintenant les choses sur mon fil de nouvelles ou similaire. Mais au moins, la quantité de temps avec lequel je suis ignorant de ce est super, super étroit. Et je peux espérons répondre. Donc, tous les trois de ceux-ci, je le ferais par exemple, sont très bonnes choses à faire. Quelles sont certaines des menaces qui sont un peu plus difficile pour nous les utilisateurs finaux de se protéger contre? Est-ce que quelqu'un sait ce que le détournement de session est? Il est une menace plus technique, mais très familière maintenant que nous avons fait PSEt six et sept et maintenant huit. Alors souvenez que lorsque vous envoyez le trafic sur Internet, quelques choses se produisent. Laissez-moi aller de l'avant et se connecter à C9 ou CS50.io. Donnez-moi juste un moment pour se connecter à mon compte jHarvard. 

Public: Quel est votre mot de passe. 

DAVID MALAN: 12345. Bien. Et ici, je sais que si je vais de l'avant et demander un web page-- et en attendant, permettez-moi de le faire. Permettez-moi d'ouvrir jusqu'à inspecteur de Chrome onglet et mon trafic réseau. Et laissez-moi aller à http://facebook.com et effacer cela. En fait, vous savez quoi? Allons plus familier One-- https://finance.cs50.net et cliquez sur Entrée et connectez-vous le trafic réseau ici. 

Donc noter ici, si je regarde dans mon trafic réseau, réponse headers-- Montons ici. Réponse headers-- ici. Donc, la première demande que je envoyé, qui était pour la page par défaut, il a répondu avec ces en-têtes de réponse. Et nous avons parlé des choses comme emplacement. Comme, des moyens de localisation rediriger vers login.php. Mais une chose que nous ne parlait pas un immense montant était à propos de lignes comme ceci. Donc, cela est intérieur de la enveloppe virtuelle qui est envoyé par CS50 Finance-- La version que vous les gars a écrit, too-- à l'ordinateur portable d'un utilisateur ou ordinateur de bureau. Et ceci est la fixation d'un cookie. Mais qu'est-ce qu'un cookie? Pensez à notre discussion de PHP. Ouais? Ouais, il est une façon de dire la site web que vous êtes toujours connecté. Mais comment ça marche? Eh bien, lors de sa visite finance.cs50.net, il ressemble à ce serveur que nous avons mis est définissant un cookie. Et ce cookie est classiquement appeler PHPSESSID ID de session. Et vous pouvez penser comme un handstamp virtuelle à un club ou, comme, un parc d'attractions, un petit morceau d'encre rouge qui va sur votre main de sorte que la prochaine fois que vous visitez le porte, vous simplement montrer votre main, et le videur à la porte vous permettra passer ou pas du tout sur la base de ce timbre. 

Donc la suivante demande que mon navigateur sends-- si je vais à la prochaine demande et vous regardez les têtes de requête, vous remarquerez plus de choses. Mais le plus important est ce partie en surbrillance ici-- pas encore défini, mais biscuit cookie. Et si je feuillette tous de ces requêtes HTTP suivantes, chaque fois que je voudrais voir une main étant étendu avec exactement le même que PHPSESSID, ce qui veut dire ce sont les mechanism-- ce grand pseudo number-- qu'un serveur utilise pour maintenir l'illusion de $ _SESSION l'objet de PHP, dans lequel vous pouvez stocker des choses comme l'ID de l'utilisateur ou ce qui est dans leur panier ou un certain nombre d'autres éléments de données. 

Alors, quelle est l'implication? Eh bien, si ce que les données ne sont pas cryptées? Et, en fait, nous avons pour le meilleur pratique chiffrer à peu près chacun des sites Web de ces jours CS50. Mais il est très fréquent de ces jours pour les sites fixes de ne pas avoir à HTTPS le début de l'URL. Ils sont juste HTTP, du côlon, slash slash. Alors, quelle est l'implication il? Cela signifie simplement que toutes ces têtes sont à l'intérieur de cette enveloppe virtuelle. Et tous ceux qui renifle l'air ou physiquement intercepte ce paquet physiquement peut regarder à l'intérieur et de voir ce que ce cookie est. 

Et si le détournement de session est tout simplement une technique qu'un adversaire utilise pour renifler des données dans l'air ou sur un réseau câblé, regarder à l'intérieur de cette enveloppe, et de voir, oh. Je vois que votre cookie est 2kleu que ce soit. Permettez-moi aller de l'avant et de faire une copie de votre tampon à main et maintenant commencer à visiter Facebook ou Gmail ou quoi que moi et présenter la juste exactement la même handstamp. Et la réalité est, les navigateurs et serveurs sont vraiment naïf. Si le serveur voit que même biscuit, son but dans la vie devrait être de dire, oh, qui doit être David, qui vient de se connecter il ya un peu. Permettez-moi de montrer ce même utilisateur, vraisemblablement, boîte de réception ou Facebook de David messages ou toute autre chose dans lequel votre connecté. 

Et la seule défense contre qui se résume à chiffrer tout à l'intérieur de l'enveloppe. Et heureusement, beaucoup de sites comme Facebook et Google, etc. font que de nos jours. Mais tout ce que ne vous laissons pas parfaitement, parfaitement vulnérables. Et l'une des choses que vous pouvez do-- et l'une des fonctionnalités intéressantes, franchement, 1Password, le logiciel Je l'ai mentionné plus tôt, est si vous l'installez sur votre Mac ou PC, le logiciel, En plus de stocker votre mots de passe, sera également vous avertir si jamais vous essayez se connecter à un site Web qui est va envoyer votre nom d'utilisateur en clair et mot de passe et en clair, pour ainsi dire. Bien. Donc, le détournement de session se résume à cela. Mais il ya cette autre manière que les en-têtes HTTP peut être utilisé pour profiter de nous. Et cela est encore un peu un problème. Ceci est vraiment juste une adorable excuser de mettre en place Cookie Monster ici. Mais Verizon et AT & T et d'autres ont pris beaucoup de critiques il ya quelques mois pour injecter, insu des utilisateurs d'abord, un en-tête HTTP supplémentaire. 

Donc ceux d'entre vous qui ont eu Verizon Wireless ou AT & T cellulaire téléphones, et vous avez été en visite sites via votre téléphone, à l'insu de vous, après votre HTTP demandes laissent Chrome ou Safari ou quel que soit sur votre téléphone, allez Verizon ou le routeur de AT & T, ils présomptueusement depuis un certain temps ont été l'injection d'un en-tête qui ressemble comme this-- une paire clé-valeur, où la clé est juste X-UIDH pour identificateur unique tête et puis certains grande valeur aléatoire. Et ils le font de manière qu'ils peuvent unique identifier tout votre trafic Web pour personnes qui reçoivent votre requête HTTP. 

Maintenant, pourquoi Verizon et AT & T, etc. vouloir vous identifier de façon unique à tous les sites que vous visitez? 

AUDIENCE: Meilleur service client. 

DAVID MALAN: Better-- pas. Il est une bonne idée, mais il est pas pour un meilleur service à la clientèle. Quoi d'autre? Publicité, non? Ainsi, ils peuvent construire une réseau de publicité, sans doute, lequel, même si vous ont désactivé les cookies, même si vous avez spéciale logiciel sur votre téléphone qui vous maintient dans l'incognito mode-- ha. Il n'y a aucune mode incognito lorsque le l'homme dans le middle-- littéralement, Verizon ou AT & T-- injecte des données supplémentaires sur lesquelles vous avez aucun contrôle, révélant ainsi qui vous êtes à ce site résultant encore et encore. 

Donc, il ya des façons de se retirer de cette. Mais ici aussi, est quelque chose que franchement, la seule façon à repousser à ce sujet est de quitter le support total, désactivez-le si ils vous permettent même, ou, comme cela est arrivé dans ce cas, faire un peu de bruit en ligne tels que les entreprises répondent effectivement. Cela, aussi, est juste un autre adorable occasion de montrer cela. 

Et nous allons jeter un oeil à, de laisser dire, un ou deux menaces finales. Nous avons donc parlé CS50 Finances ici. Donc, vous remarquerez que nous avons ce mignon petite icône sur le bouton de connexion ici. Qu'est-ce que cela signifie si je au lieu d'utiliser cette icône? Donc, avant, après. Avant après. Ce qui ne signifie après? Il est sécurisé. Voilà ce que je voudrais que vous le pensez. Mais ironiquement, il est sécurisé parce que nous avons HTTPS. 

Mais voilà comment il est facile de changer quelque chose sur un site web, non? Vous savez tous un peu de HTML et CSS maintenant. Et en fait, il est assez to-- facile et si vous ne pas faire it-- pour changer l'icône. Mais cela, aussi, est ce que entreprises nous ont appris à le faire. Alors, voici une capture d'écran de la Banque du site Web de l'Amérique ce matin. Et remarquez, l'un, ils sont me rassurer que ce qu'il est un signe sécurisé en haut à gauche. Et ils ont aussi un icône de cadenas sur le bouton, ce qui signifie que pour moi, l'utilisateur final? 

Vraiment rien, non? Ce qui importe est le fait qu'il ya le grand vert URL là-haut avec le protocole HTTPS. Mais si on fait un zoom sur ce point, est juste comme moi, sachant un peu de HTML et un peu de CSS, et de dire, hey, mon site est sécurisé. Comme, tout le monde peut mettre un cadenas et le mot sign-on sécurisé sur leur site web. Et que signifie vraiment rien. Que signifie quelque chose est quelque chose comme ça, où vous ne voyez https: // le fait que Bank of America Corporation a cette grande barre verte, alors que CS50 ne fait pas, signifie simplement qu'ils ont payé plusieurs centaines dollars de plus pour avoir supplémentaires vérification faite de leur domaine aux États-Unis alors que les navigateurs qui adhèrent à cette norme va également nous montrer un peu plus que cela. 

Donc, nous allons laisser les choses à ce, effrayer vous un peu plus avant longtemps. Mais mercredi, nous serons rejoints par Scaz de Yale pour un look à intelligence artificielle et ce que nous pouvons faire avec ces machines. Nous vous verrons la prochaine fois.