[RIPRODUZIONE DI BRANI MUSICALI] DAVID MALAN: Questo è CS50, e questo è l'inizio della settimana 10. E si potrebbe ricordare questo immagine da qualche settimana fa quando abbiamo parlato di internet e come in realtà è implementato fisicamente. E si potrebbe ricordare che non c'è in realtà un sacco di cavi così come wireless tecnologie che interconnettono tutti i nodi o router e altri tali tecnologie su Internet. E un sacco di che è underseas. Beh, si scopre che quelli cavi sottomarine sono un po 'di un bersaglio. E la lezione di oggi è interamente per la sicurezza, non solo le minacce che abbiamo tutti di fronte fisicamente, ma anche virtualmente, e anche, fine verso la coda Oggi, alcune delle difese che noi, come gli utenti possono in realtà messo in atto. Ma prima, una delle prime e threat-- forse più fisico [RIPRODUZIONE VIDEO] -Could Russia sia la pianificazione un attacco alla cavi sottomarini che collegano a internet globale? Navi e sottomarini -Russian agguato cavi sottomarini vicino che portano quasi tutti di Internet del mondo. -Il Intera Internet è trascinato questi cavi. -Prima Di tutto, qual è il Internet facendo sott'acqua? L'ultima volta che ho controllato, non sono dovrebbe ottenere il mio computer bagnato. In secondo luogo, se mi chiedete come internet viaggia da un continente all'altro, Avrei detto satelliti o laser, o, onestamente, Io probabilmente avrei appena detto Internet. E cosa è successo al cloud? Mi è stato detto che c'era una nuvola. Ricorda? Ehi, mettiamo che nel cloud. Era come la connessione a internet era un vapore di informazioni che circonda la Terra, e il computer è stato come un mestolo che scavato che cosa avete bisogno. Ma si scopre Internet è in realtà sott'acqua perché questi cavi trasportano più di Il 95% delle comunicazioni Internet ogni giorno. E le preoccupazioni di intelligence statunitensi che nei momenti di tensione o di conflitto, Russia potrebbe ricorrere a loro recidere. Sarebbe il più grande perturbazione al tuo servizio internet dal momento che il vostro vicino di casa al piano di sopra mettere una password sul suo Wi-Fi. ok? Provate il nome del suo cane. [FINE RIPRODUZIONE] DAVID MALAN: Prima di girare subito a alcune delle minacce virtuali, un paio di annunci. Così i nostri amici un CrimsonEMS sono attualmente reclutamento per nuovi EMT, Emergenza tecnici sanitari. E questo è in realtà qualcosa particolarmente vicino al mio cuore. Molto tempo fa, ho ricordo di essere in un Ikea poco dopo la laurea, in realtà. E mentre stavo uscendo dal negozio, questo bambino che era in un passeggino iniziato a girare letteralmente blu. E lui stava soffocando su qualche pezzo di cibo che aveva presumibilmente ottenuto bloccato in gola. E sua madre era in preda al panico. I genitori intorno a loro erano in preda al panico. E anche io, che aveva un po 'di familiarità con lo SME solo per mezzo di amici, completamente congelato. Ed è stato solo grazie a qualcosa come un bagnino di 15 anni che ha investito e in realtà sapevamo cosa fare istintivamente e chiesto aiuto ed effettivamente tirato il ragazzo dal suo passeggino ed effettivamente affrontato la situazione. E per me, che era un punto di svolta. E fu in quel momento periodo in cui ho deciso, dannazione, Ho bisogno di avere il mio atto insieme e in realtà sapere come rispondere a queste tipi di situazioni. E così io mi sono preso in licenza anni fa come un EMT. E attraverso la scuola di specializzazione ho giro su ambulanza del MIT per un certo periodo di tempo così come hanno mantenuto la mia licenza da allora. E in realtà, fino ad oggi, tutte le del personale CS50 qui a Cambridge sono in realtà certificata in CPR, così, per ragioni analoghe. Quindi, se siete a tutti interessato a questo, c'è mai andare a essere abbastanza tempo a il giorno per assumere qualcosa di nuovo. Ma se volete un nuovo anno risoluzione, non aderire a questi ragazzi qui o considerare protesa verso il Croce Rossa per la certificazione, o qui oa New Haven, pure. Così ultimo pranzo di CS50 è questo Venerdì. Quindi, se non hai ancora unito a noi, o se avete e volete ancora una volta, andate sul sito di CS50 per compilare il modulo di là. Sappiate, inoltre, che i nostri amici in Yale, il professor Scassellati, sta producendo una IA, artificiale intelligenza, di serie per noi che inizierà al debutto questa settimana su video. Quindi, soprattutto se siete interessati nel perseguire un progetto finale in qualche modo relativi all'intelligenza artificiale, elaborazione del linguaggio naturale, la robotica anche, si rendono conto che questi saranno essere una meravigliosa fonte di ispirazione per questo. E solo per darvi un teaser di questo, qui è SCAZ se stesso. [RIPRODUZIONE VIDEO] -Uno Dei davvero grande cose informatica è che anche con solo un paio di settimane di studio, si sta andando ad essere in grado di comprendere molti dei manufatti intelligenti e dispositivi che popolano il nostro mondo moderno. In questo breve video serie, stiamo andando a guardare a cose come Netflix è in grado per suggerire e raccomandare film che potrei piace, come è possibile che Siri può rispondere alle domande che ho, come è che Facebook in grado di riconoscere la mia faccia e automaticamente i tag me in una fotografia, o come Google è in grado di costruire una macchina che guida da sola. Quindi spero che vi unirete a me per questo breve serie di video, la serie CS50 AI. Penso che troverete che si sa molto di più di quanto si pensava di averlo fatto. [FINE RIPRODUZIONE] DAVID MALAN: Così quelli apparirà su il sito web del corso fine di questa settimana. Rimanete sintonizzati. E nel frattempo, alcuni annunci per quanto riguarda quello che ci aspetta. Quindi siamo qui. Questo è nel nostro conferenza sulla sicurezza. Il prossimo Mercoledì, SCAZ e Andy, la nostra testa insegnamento collega a New Haven, sarà qui per guardare intelligenza artificiale se per uno sguardo a di calcolo per communication-- come costruire sistemi che utilizzano lingua per comunicare da ELIZA, se si ha familiarità con questo software da ieri, a Siri più di recente e di Watson, che si potrebbe sapere da Jeopardy o simili. Poi Lunedi prossimo, siamo non qui a Cambridge. Siamo a New Haven per un secondo guardare intelligenza artificiale con SCAZ e Company-- Avversari AI nei giochi. Quindi, se hai mai giocato contro il computer in qualche videogioco o gioco per cellulare o simili, faremo parlare di come esattamente che-- per costruire gli avversari per i giochi, come rappresentare le cose sotto gli alberi con cappuccio da giochi come tic-tac-toe a scacchi al moderno reale videogiochi, pure. Purtroppo, quiz si è poco dopo. Maggiori dettagli su questo su CS50 di sito web entro questa settimana. E la nostra ultima lezione a Yale sarà essere che Venerdì dopo il quiz. E la nostra ultima lezione a Harvard sarà il Lunedi successivamente, dalla natura di programmazione. E quindi in termini di traguardi, oltre pset otto su questa settimana; rapporto di stato, che sarà sanity check veloce tra voi e il tuo insegnamento compagno; il Hackathon, che sarà qui a Cambridge per gli studenti da New Haven e Cambridge simili. Ci prenderemo cura di tutti il trasporto da New Haven. L'attuazione del progetto finale sarà dovuto. E poi per entrambi i campus ci sarà una fiera CS50 che ci permette di prendere uno sguardo e delizia in ciò che ognuno ha compiuto. In realtà, ho pensato che questo sarebbe un buon momento per attirare l'attenzione su questo dispositivo qui, che abbiamo utilizzato per una certa quantità di tempo qui, che è un bel tocco dello schermo. E in realtà, lo scorso Quest'anno abbiamo avuto un $ 0,99 app che abbiamo scaricato dalla app di Windows conservare per disegnare sullo schermo. Ma francamente, è stato molto disordinato. Ci ha permesso di disegnare sul schermo, ma ci sono stati, come, un sacco di icone qui. L'interfaccia utente era piuttosto male. Se si voleva cambiare alcune impostazioni, c'erano solo tanti clic maledetti. E l'utente interface-- o, più propriamente, il experience-- utente era piuttosto subottimale, soprattutto utilizzando in un ambiente di lezione. E così abbiamo raggiunto fuori ad un nostro amico a Microsoft, Bjorn, che è in realtà stato seguito con CS50 on-line. E come il suo progetto finale, in sostanza, ha fatto lui molto gentilmente prendere qualche input da noi come esattamente la funzionalità e l'esperienza utente noi vogliamo. E poi è andato a costruire per Windows questa applicazione qui che ci permette di draw-- oops-- e incantesimo su the-- wow. Grazie. Per disegnare e magia in questa schermata qui con un'interfaccia utente molto minimale. Allora hai visto me, forse, spostando su qui sempre leggermente ora dove siamo possono sottolineare le cose in rosso. Siamo in grado di attivare e ora vai al testo bianco qui. Se vogliamo eliminare effettivamente lo schermo, si può fare questo. E se in realtà preferiamo un tele bianche, possiamo fare quello. Così lo fa terribilmente poco per la progettazione e lo fa bene. In modo che io Futz, si spera, molto meno quest'anno in classe. E grazie anche a un protetto di suo mi metto oggi un piccolo anello. Si tratta di Benjamin, che era internato con Bjorn questa estate. Quindi è un po 'anello. E 'un po' più grande del mio solito anello. Ma via un po 'dial su il lato qui posso realmente spostare le diapositive a destra ea sinistra, in avanti e indietro, e in realtà avanzare le cose in modalità wireless in modo che, uno, non ho andare avanti indietro verso la barra spaziatrice Qui. E due, io non avere uno di quegli stupidi clicker e preoccupare la mia mano tenendo il dannato per tutto il tempo al fine di fare clic semplicemente. E sicuramente, nel tempo, sarà l'hardware in questo modo ottenere super, super piccolo. Quindi certamente, non esitate a pensare fuori dagli schemi e fare le cose e creare cose che non lo fanno nemmeno esistono ancora per progetti finali. Senza ulteriori indugi, uno sguardo a ciò che attende come ci si immerge nel vostro finale progetti al Hackathon CS50 [RIPRODUZIONE VIDEO] [RIPRODUZIONE DI BRANI MUSICALI] [RUSSARE] [FINE RIPRODUZIONE] DAVID MALAN: Va bene. Così la clip Stephen Colbert che ho mostrato solo un momento fa era in realtà in TV solo pochi giorni fa. Ed infatti, un paio di altri clip vi mostreremo oggi sono incredibilmente recente. E infatti, che parla al realtà che tanto della tecnologia e, francamente, un sacco di idee abbiamo parlato in CS50 sono davvero onnipresente. E uno degli obiettivi di il corso è certamente per equipaggiare con le competenze tecniche in modo da che si può effettivamente risolvere i problemi programmazione, ma due, in modo che si può effettivamente prendere decisioni migliori e prendere decisioni più consapevoli. E, infatti, tutta la tematica stampa e video online e articoli in questi giorni è solo una spaventosa incomprensione o la mancanza di comprensione di come la tecnologia opere, soprattutto tra i politici. E così in effetti, in appena un po 'ce la faremo dare un'occhiata a uno di quei dettagli, anche. Ma letteralmente durare sera ero io seduto a Bertucci, un locale franchising posto italiano. E ho saltato sulla loro connessione Wi-Fi. E sono stato molto rassicurato per vedere che è sicuro. E sapevo che perché si dice qui "Secure Internet Portal" quando lo schermo si avvicinò. Così questo era il piccolo prompt che viene in Mac OS o in Windows quando ci si connette a una rete Wi-Fi per la prima volta. E ho dovuto leggere attraverso i loro termini e le condizioni e, infine, fare clic su OK. E poi mi è stato permesso di proseguire. Quindi partiamo a ripensare quello che tutti questo significa e prendere non più per concesso ciò che le persone ci dicono quando abbiamo incontro con varie tecnologie. Così uno, cosa vuol dire che si tratta di un portale Internet sicuro? Che cosa potrebbe Bertucci essere rassicurarmi di? PUBBLICO: I pacchetti inviati avanti e indietro sono crittografati. DAVID MALAN: Good. I pacchetti inviati indietro e indietro sono criptati. Infatti, dato che il caso? Se così fosse, che cosa dovrei hanno a che fare o che cosa dovrei sapere? Beh, si vedrebbe un po ' lucchetto in Mac OS o in Windows dicendo che vi è infatti un po 'di crittografia o di rimescolamento in corso. Ma prima di poter utilizzare un criptato collegamento al portale o Wi-Fi, cosa dovete digitare solito? Una password. So che tale parola d'ordine, né ho digitare tale password. Ho semplicemente cliccato OK. Quindi questo è del tutto priva di senso. Questo non è un portale internet sicuro. Si tratta di un portale Internet insicuro 100%. Non c'è assolutamente nessuna crittografia andare su, e tutto ciò che sta facendo 'sicuro è che tre parole frase sullo schermo lì. Quindi questo significa niente, necessariamente, tecnologicamente. E un po 'di più preoccupante, se effettivamente leggere i termini e le condizioni, che sono sorprendentemente leggibili, era questo-- "te Comprendiamo che ci riserviamo il diritto di accedere o di monitorare il traffico di garantire questi termini vengono seguiti. " Ecco, questo è un po 'inquietante, se Bertucci è guardando il mio traffico internet. Ma la maggior parte qualsiasi accordo che hai ciecamente cliccato attraverso ha sicuramente detto che prima. Così che cosa fa che in realtà significa tecnologicamente? Quindi, se c'è un po 'raccapricciante ragazzo o donna nella schiena che è, come, il monitoraggio tutto il traffico Internet, come è lui o lei accede che le informazioni esattamente? Quali sono gli aspetti tecnologici mezzi attraverso i quali che person-- o avversario, più generally-- può essere guardando il nostro traffico? Beh, se non c'è la crittografia, cosa tipo di cose che potevano annusare, per così dire, una sorta di rilevare in aria. Cosa vorresti guardare? Sì? PUBBLICO: I pacchetti inviati dal computer al router? DAVID MALAN: Sì. I pacchetti inviati da il computer al router. Così si potrebbe ricordare quando eravamo a New Haven, siamo passati quelle buste, fisicamente, per tutto il pubblico per rappresentare dati passa attraverso internet. E certamente, se fossimo buttare attraverso il pubblico in modalità wireless per arrivare a destinazione, chiunque può sorta di afferrare e fare una copia di esso ed effettivamente vedere cosa c'è all'interno di tale busta. E, ovviamente, ciò che è all'interno di queste buste è un qualsiasi numero di cose, compreso l'indirizzo IP che si sta cercando di accesso o il nome dell'host, come www.harvard.edu o yale.edu che si sta cercando di accedere o qualcos'altro. Inoltre, il percorso, too-- sapete da pset sei che dentro di richieste HTTP sono ottenere barra something.html. Quindi, se si sta visitando una pagina specifica, il download di un immagine o video specifico, tutte queste informazioni è all'interno di quel pacchetto. E così nessuno lì dentro può di Bertucci essere guardando che ben stessi dati. Ebbene, che cosa sono alcuni altri minacce in questo senso di essere consapevoli di prima solo iniziare ad accettare come dato di fatto quello che qualcuno come Bertucci semplicemente ti dice? Beh, questo è stato un article-- una serie di articoli che è venuto fuori solo qualche mese fa. Tutta la rabbia in questi giorni sono questi televisori intelligenti diavolerie. Che cosa è una smart TV, se avete sentito parlare di loro o hanno uno a casa? PUBBLICO: connettività Internet? DAVID MALAN: Sì, connettività internet. Quindi in generale, una smart TV è un TV con connessione a internet e un utente veramente schifoso interfaccia che rende più difficile utilizzare effettivamente il web perché si deve usare, come, su, giù, sinistra, e destra o qualcosa sul telecomando solo per accedere a cose che sono così tanto più facilmente fatto su un computer portatile. Ma più preoccupante su una smart TV, e televisori Samsung in questo caso particolare, era che i televisori Samsung e gli altri in questi giorni sono dotati di un determinato hardware per creare quello che a loro parere è un migliore interfaccia utente per voi. Quindi uno, si può parlare di alcuni dei vostri televisori in questi giorni, non dissimile Siri o del altri equivalenti sui telefoni cellulari. Così si può dire dei comandi, come cambio canale, aumentare il volume, spegnere, o simili. Ma che cosa è l'implicazione di tale logicamente? Se hai il televisore nel salotto camera o il televisore, ai piedi del tuo letto addormentarsi a, qual è l'implicazione? Sì? PUBBLICO: Ci potrebbe essere qualcosa andando attraverso il meccanismo per rilevare il suo discorso. DAVID MALAN: Sì. PUBBLICO: CHE POTREBBERO essere inviate via internet. Se è in chiaro, allora è vulnerabile. DAVID MALAN: In effetti. Se avete un microfono integrato in una TV e il suo scopo nella vita è, in base alla progettazione, ad ascoltare a te e rispondere a voi, sta sicuramente sarà l'ascolto di tutto quello che dici e poi quello di tradurre alcune istruzioni integrate. Ma il problema è che la maggior parte di questi TV non sono intelligenti perfettamente se stessi. Sono molto dipendente che la connessione internet. Così tanto come Siri, quando si parla nel telefono, invia rapidamente che i dati tra Internet ai server di Apple, poi si rimette una risposta, letteralmente è il TV Samsung e liquide solo l'invio di tutto sei dicendo in salotto o camera da letto per i loro server solo per rilevare cosa ha detto, accendere il televisore o spegnere la TV? E Dio sa che cosa altro potrebbe essere pronunciata. Ora, ci sono alcuni modi di mitigare questo, giusto? Come quello che fa e quello che Siri fa Google e gli altri a fare almeno difendersi che il rischio che siano ascoltare assolutamente tutto? Esso deve essere attivato dicendo qualcosa come, hey, Siri, o hi Google o simili o OK, Google o simili. Ma tutti sappiamo che chi espressioni tipo di succhiare, giusto? Come se fossi appena sitting-- in realtà l'ultima volta Ero a orario d'ufficio a Yale, credo, Jason o uno dei TF mantenuto urlare, come, hey, Siri, ehi, Siri e stava facendo il mio telefono fare le cose perché era troppo prossimale al mio telefono effettivo. Ma è vero il contrario, troppo. A volte queste cose solo calci sul perché è imperfetta. E in effetti, naturale lingua processing-- comprendere fraseggio di un essere umano e poi fare qualcosa sulla base di it-- è certamente imperfetta. Ora, peggio ancora, un po ' di potreste aver visto o di avere un televisore dove si può fare stupidi o new-age cose come questa per cambiare canale a sinistra oa questo per cambiare i canali a destra o abbassare il volume o aumentare il volume. Ma cosa vuol dire la TV ha? Una telecamera puntata verso te sempre possibili. E infatti, il trambusto intorno a Samsung TV per il quale hanno preso un po 'di Flack è che se leggete i termini e condizioni del TV-- la cosa certamente mai letto quando si scompatta il televisore per la prima tempo-- incorporato in c'era un po 'di responsabilità dicendo che l'equivalente di, una si potrebbe desiderare di avere personale conversazioni in fronte di questo televisore. Ed è quello che riduce a. Ma non si dovrebbe nemmeno hanno bisogno di sentirsi dire che. Dovresti essere capace di inferire dalla realtà che microfono e telecamera letteralmente indicando me tutto il tempo forse è più male che bene. E, francamente, lo dico un po 'ipocritamente. Ho letteralmente, oltre a quelle telecamere, Ho un piccolo piccolo macchina fotografica qui nel mio computer portatile. Ho un altro qui. Ho il mio cellulare su entrambi i lati. Così per non ho messo giù nel modo sbagliato, loro può ancora mi guardare e ascoltare me. Tutto questo potrebbe essere accade tutto il tempo. Allora, cosa trattiene il mio iPhone o Android telefono dal fare questo tutto il tempo? Come facciamo a sapere che Apple e una persona raccapricciante a Google, non sono in ascolto per questo molto conversazione attraverso il telefono o conversazioni Che ho a casa o al lavoro? PUBBLICO: Perché la nostra vita non sono così interessanti. DAVID MALAN: Perché il nostro vite non sono poi così interessante. Che in realtà è una risposta valida. Se non siamo preoccupati su una particolare minaccia, vi è una sorta di chi se ne frega aspetto da esso. Po 'vecchio di me non sta andando essere veramente un bersaglio. Ma certamente potevano. E così, anche se si vede un po ' cose formaggio su TV e film, come, oh, torniamo sulla griglia e- come Batman fa questo molto, in realtà, e in realtà può vedere Gotham, che cosa è in corso per mezzo di telefoni cellulari della gente o simili. Alcuni di che è un po 'futuristica, ma siamo più o meno lì in questi giorni. Quasi tutti noi sono andare in giro con il GPS transponder che è raccontando Apple e Google e tutti gli altri che vogliono sapere dove siamo nel mondo. Abbiamo un microfono. Abbiamo una macchina fotografica. Stiamo dicendo le cose come snapchat e altre applicazioni tutti sappiamo, tutti i loro numeri di telefono, tutti i loro indirizzi di posta elettronica. E così ancora una volta, una delle rosticcerie oggi, si spera, è di almeno di pausa un po 'prima ciecamente dicendo: OK quando si desidera che il convenienza di snapchat sapendo che tutti i tuoi amici è. Ma al contrario, ora snapchat conosce tutti quelli che conosci ed eventuali piccole note si potrebbe hanno fatto nei tuoi contatti. Quindi questa è stata una tempestiva, anche. Alcuni mesi fa, snapchat in sé non era compromessa. Ma c'era stata una certa applicazioni di terze parti che ha reso più facile per salvare E scatta il fermo è stato che quel servizio di terze parti sua volta compromessa, in parte perché il servizio di snapchat sostenuto una caratteristica che probabilmente non dovrebbe avere, che ha consentito di questo l'archiviazione da parte di terzi. E il problema è che un archivio di, come, 90.000 scatti, credo, alla fine sono stati compromessi. E così si potrebbe prendere qualche conforto cose come snapchat essere effimera, destra? Hai sette secondi per guardare quel messaggio inappropriato o nota, e poi scompare. Ma uno, la maggior parte di voi probabilmente hanno capito come prendere screenshot, ormai, che è il modo più semplice per aggirare questo. Ma due, non c'è niente di fermare la società o la persona è su internet di intercettare quella dati, potenzialmente, pure. Quindi questo è stato letteralmente solo un giorno o due fa. Questo è stato un bell'articolo su un titolo sito online. "Worm epico Fail-- Potenza Ransomware Distrugge Accidentalmente I dati della vittima durante la crittografia. " Così un altro strappato dal titoli genere di cose qui. Così si potrebbe avere sentito parlare di malware, che è dannoso software-- software così male che le persone con troppo tempo libero scrivere. E a volte, lo fa solo cose stupide come eliminare i file o inviare spam o simili. Ma a volte, e sempre più, è più sofisticato, giusto? Sapete tutti come dilettarsi nella crittografia. E Cesare e Vigenere Non sono super sicuri, ma ci sono altri, certamente, che sono più sofisticati. E così ciò che questo avversario ha fatto è stato scritto un malware che in qualche modo infettato un mazzo di computer delle persone. Ma lui era una sorta di un idiota e ha scritto una versione buggy di questo malware tale che quando lui o lei implementato il code-- oh, siamo ricevendo un sacco di-- dispiace. Stiamo ricevendo un sacco di colpisce il microfono. OK. Così che cosa il problema era che lui o lei ha scritto del codice cattivo. E così hanno generato pseudorandomly una chiave di crittografia con cui crittografare i dati di qualcuno maliziosamente, e poi accidentalmente buttato via la chiave di crittografia. Quindi l'effetto di questo il malware non è stato come previsto, ai dati di riscatto di qualcuno da cifrando il suo hard disk e quindi in attesa di 800 $ USA in cambio per la chiave di crittografia, a questo punto la vittima potrebbe decriptare i propri dati. Piuttosto, il cattivo semplicemente criptato tutti i dati sul proprio disco rigido, accidentalmente cancellato la chiave di crittografia, e non ho ricevuto soldi fuori di esso. Ma ciò significa anche che la vittima veramente una vittima perché ora lui o lei non può recuperare nessuno dei dati a meno in realtà hanno un po 'di vecchia scuola backup. Quindi, anche in questo caso è una sorta di una realtà che potrete leggere in questi giorni. E come si può difendersi da questo? Ebbene, questo è un intero barattolo di vermi, senza giochi di parole, su virus e worm e simili. E non vi è certamente un software con cui è possibile difendersi. Ma meglio è solo per essere intelligenti su di esso. In realtà, io haven't-- questo è uno dei questi fanno come dico, non come faccio le cose, perhaps-- non ho davvero usato software antivirus in anni perché se di solito sa cosa cercare, si può difendere contro la maggior parte tutto da soli. E in realtà, tempestivo qui a Harvard-- c'era un bug o un problema la settimana scorsa dove Harvard è chiaramente, come, monitorare un sacco di traffico di rete. E tutti voi anche visitando il sito web del CS50 potrebbe aver ottenuto un detto avviso che non si può visitare questo sito Web. Non è sicuro. Ma se si è tentato di visitare Google o altri siti, Anche quelli, troppo, erano insicuri. Questo perché Harvard, troppo, ha qualche tipo di sistema di filtrazione che sta tenendo d'occhio su siti web potenzialmente dannosi per aiutarci a proteggere contro di noi. Ma anche queste cose sono chiaramente imperfetta, se non buggy, se stessi. Quindi qui-- se siete curiosi, io sarò lasciare queste slide up online-- è l'informazione effettiva che l'avversario ha dato. E lui o lei era chiedendo a bitcoin-- che è un currency-- virtuale $ 800 Uniti per decifrare realmente i vostri dati. Sfortunatamente, questo è stato completamente sventato. Così ora vedremo qualcosa di più politico. E ancora, l'obiettivo è per iniziare a pensare a come è possibile prendere decisioni più informate. E questo è qualcosa accade attualmente nel Regno Unito. E questo era un meraviglioso tagline da un articolo su questo. Il Regno Unito sta introducendo, come vedrete, una nuova sorveglianza proposta di legge per cui il Regno Unito è proponendo di monitorare tutto gli inglesi fanno per un periodo di un anno. E quindi i dati è gettato fuori. Quote, unquote, "Sarebbe servire una tirannia bene. " Quindi, diamo uno sguardo con un amico del signor Colbert. [RIPRODUZIONE VIDEO] -Welcome, Benvenuto, benvenuto per "la scorsa settimana stasera." Grazie mille per averci. Sono John Oliver. Tempo solo per un breve riepilogo della settimana. E cominciamo con il Regno Unito, Regno magico almeno della Terra. Questa settimana, il dibattito ha imperversato su là su una nuova legge controversa. -Il Governo britannico è nuove leggi di sorveglianza svelando che si estendono in modo significativo il suo potere per monitorare le attività delle persone in linea. -Theresa Maggio ci chiama una licenza per operare. Altri hanno definito un Carta di snooper, non ha che? -Bene, Tenere su perchè-- snooper di Carta non è la frase giusta. Che suona come il accordo di un bambino di otto anni è costretti a firmare la promessa di battere prima di entrare camera da letto dei suoi genitori. Dexter, segno statuto di questo snooper o non possiamo essere ritenuti responsabili per quello che si potrebbe vedere. Questo disegno di legge potrebbe potenzialmente scrivere in legge un enorme violazione della privacy. -Sotto I piani, un elenco di siti web visitato da ogni persona nel Regno Unito verrà registrato per un anno e potrebbe essere messi a disposizione di polizia e di sicurezza servizi. -Questo Comunicazioni dati non avrebbero rivelato la pagina web esatto hai guardato, ma avrebbe mostrato il luogo era su. -OK. Quindi non sarebbe memorizzare il pagina esatta, solo il sito web. Ma questo è ancora un sacco di informazioni. Per esempio, se qualcuno visitato orbitz.com, sapresti che erano pensando di fare un viaggio. Se hanno visitato yahoo.com, faresti sapere che appena avuto un ictus e si è dimenticato la parola "google". E se hanno visitato vigvoovs.com, sapresti che sono cornea e la loro chiave B non funziona. Eppure per tutta la travolgente poteri il disegno di legge contiene, Ministro degli Interni britannico Theresa May insiste sul fatto che i critici hanno saltato fuori delle proporzioni. -Un Record di connessione internet è un registrazione del servizio di comunicazione che una persona ha usato, non un record di ogni pagina web che hanno accesso. E 'semplicemente l'equivalente moderno di una bolletta telefonica dettagliata. -Sì, Ma questo non è abbastanza rassicurante come lei pensa che sia. E ti dirò perché. In primo luogo, non voglio che il governo guardando il mio telefonate sia. In secondo luogo, un cronologia di navigazione internet è un po 'diverso da una bolletta telefonica dettagliata. Nessuno cancella freneticamente il loro telefono cellulare fattura ogni volta che finisci una chiamata. [FINE RIPRODUZIONE] DAVID MALAN: Un modello di emergenti di come mi preparo per la classe. E 'solo per guardare la TV per una settimana e vedere cosa viene fuori, chiaramente. In modo che, anche, era proprio da ultimo notte "la scorsa settimana stasera." Quindi cominciamo a parlare ora su alcune delle difese. Infatti, per qualcosa come questo, dove gli inglesi propongono di tenere un registro di questo tipo di dati, dove si potrebbe essere provenienti da? Beh, richiamare dalla pset sei, pset sette, otto e pset ora che all'interno di quelle virtuali envelopes-- almeno per HTTP-- sono i messaggi che sembrano questo. E così questo messaggio, naturalmente, non è solo indirizzata a un indirizzo IP specifico, che il governo qui o là potrebbe certamente il login. Ma anche all'interno di quella busta è una menzione esplicita il nome a dominio che viene visitato. E se non è solo tagliare, potrebbe in realtà essere un nome di file specifico o un'immagine o un filmato specifico o, ancora, nulla di interesse si potrebbe essere certamente intercettato se tutto il traffico di rete è in qualche modo essere proxy attraverso i server di governo, come già avviene in alcuni paesi, o se vi sono una sorta di sconosciuti o accordi non dichiarati, come è avvenuto già in questo paese tra alcuni grandi players-- ISP e compagnie telefoniche e il like-- e il governo. Così divertente tutta-- l'ultima volta che ho scelto badplace.com la parte superiore della mia testa come esempio di un abbozzato sito web, non ho in realtà veterinario in anticipo o meno che in realtà ha portato a un badplace.com. Per fortuna, questo dominio nome è appena parcheggiato, e in realtà non portare a una badplace.com. Quindi continueremo a utilizzare quella per ora. Ma mi è stato detto che avrebbe potuto ritorno di fiamma molto poco quel particolare giorno. Quindi cominciamo a parlare ora su certe difese e ciò che i fori là potrebbe anche essere in quelli. Così le password è una specie di go-per rispondere per un sacco di meccanismi di difesa, giusto? Basta proteggere con password, quindi che non mancherà di tenere gli avversari fuori. Ma cosa realmente significa? Così ricordare da degli hacker due, indietro se affrontati che-- quando si doveva rompere le password in una file-- o anche in un problema set sette, quando diamo una SQL campione File di alcuni nomi utente e password. Questi erano i nomi utente si videro, e questi erano gli hash che abbiamo distribuito per la degli hacker edizione del problema impostare due. E se siete stati chiedendo tutto questo tempo ciò che le password effettive erano, questo è ciò che, in realtà, essi decifrare a che si potrebbe avere incrinato nel pset due, o si potrebbe avere scherzosamente li figurato nel problema impostare sette. Tutti loro hanno un po 'si spera significato carino qui o a New Haven. Ma l'asporto è che tutti, almeno qui, sono piuttosto breve, piuttosto indovinare. Voglio dire, in base all'elenco qui, che sono forse le più facili di crack, per capire scrivendo software che indovina e controlla solo, diresti? PUBBLICO: password. DAVID MALAN: password di abbastanza buono, giusto? Ed è uno solo--, è una password molto comune. Infatti, ogni anno c'è una lista di le password più comuni del mondo. E citazione, unquote "password" è generalmente in cima quella lista. Due, è in un dizionario. E sapete da problema cinque set che non è che hard-- potrebbe essere un poco tempo consuming-- ma non è così difficile da caricare un grande dizionario in memoria e quindi utilizzarlo per sorta di indovinare e controllo tutte le possibili parole in un dizionario. Che altro potrebbe essere abbastanza facile da indovinare e controllare? Sì? PUBBLICO: La ripetizione delle lettere. DAVID MALAN: La ripetizione di simboli e lettere. Così sorta di sorta di. Così, in fact-- e non andremo in grande particolare qui-- tutti questi sono stati salati, che si potrebbe ricordare da problema documentazione sette di. Alcuni di loro hanno diversi sali. Così si potrebbe in realtà evitare di dover ripetizione di certi personaggi semplicemente salando le password in modo diverso. Ma le cose come 12345, che è una cosa abbastanza facile da indovinare. E, francamente, il problema con tutte queste password è che sono tutti solo usando 26 caratteri possibili, o forse 52 con un po 'maiuscola, e poi 10 lettere. Non sto usando alcun carattere funky. Non sto usando zeri per O o quelli perché io di o L's or-- se qualcuno di voi pensi di essere intelligente, però, da avere uno zero per un O la password or-- OK, ho visto qualcuno sorriso. Così qualcuno ha un zero per un O nella sua password. Lei non sta effettivamente essere come intelligente come si potrebbe pensare, giusto? Perché se più di uno dei ci sta facendo questo in camera-- e sono stato colpevole di questo come well-- bene, tipo di se ognuno di fare questo, che cosa l'avversario deve fare? Basta aggiungere zero e uno e un paio di other-- forse fours per H's-- al suo arsenale e basta sostituire quelli lettere per le parole del dizionario. Ed è solo un ulteriore loop o qualcosa del genere. Quindi, in realtà, la migliore difesa per le password è qualcosa di molto, molto di più random-sembrando quindi questi. Ora, naturalmente, minacce contro le password a volte includere le email del genere. Così ho letteralmente appena ricevuto questo nel mio inbox quattro giorni fa. Questo è dalla Bretagna, che a quanto pare lavora a harvard.edu. E lei mi ha scritto come un utente webmail. "Abbiamo appena notato che la tua email account è stato registrato su un altro computer in una posizione diversa, e si sta per verificare la vostra identità personale. " Così tematico in molte e-mail come questo, che sono esempi di phishing attacks-- P-H-I-S-H-I-N-G-- dove qualcuno sta cercando di pescare e un po ' informazioni da te, generalmente da una e-mail come questa. Ma quali sono alcune delle rivelatore segni che questo non è, infatti, una e-mail legittima da Università di Harvard? Che cos'è? Così male grammatica, la capitalizzazione strano, come alcune lettere sono capitalizzati in certi luoghi. C'è un po 'strano rientro in un paio di posti. Cos'altro? Che cos'è? Beh, che di certo helps-- la grande scatola gialla che dice che questo potrebbe essere spam Google, che è certamente utile. Quindi c'è un sacco di segni rivelatori qui. Ma la realtà è queste e-mail devono lavorare, giusto? E 'piuttosto a buon mercato, se non gratuito, di inviare centinaia o migliaia di email. E non è solo con l'invio fuori del proprio ISP. Una delle cose che il malware tende a fare-- così virus e worm che accidentalmente infettare o computer perché hanno stato scritto da uno dei adversaries-- cose che fanno è solo sfornare spam. Allora, cosa vi esiste nel mondo, infatti, sono cose chiamate botnet, che è un modo elegante per dire che le persone con più di codifica competenze che la persona che ha scritto che la versione buggy di software, hanno software effettivamente scritto che la gente come noi unsuspectingly installare sul nostro computer e poi iniziare a correre dietro le scene, a nostra insaputa. E quelli di malware programmi intercomunicanti. Essi formano una rete, una botnet, se vuoi. E generalmente, il più sofisticato degli avversari ha un qualche tipo di controllo remoto su migliaia, se non decine di migliaia, dei computer da solo l'invio un messaggio su internet che tutti questi bot, per così dire, sono in grado di sentire o di tanto in tanto richiesta da qualche sito centrale e poi può essere controllato per inviare spam. E queste cose spam possono essere appena venduto al miglior offerente. Se sei un'azienda o una sorta di società frangia che in realtà non si preoccupano del sorta di etica della spamming utenti ma si vuole solo colpito fuori un milione di persone e la speranza che l'1% di them-- che è ancora un numero non banale di potenziale buyers-- si può effettivamente pagare questi avversari in una sorta di mercato nero di sorta per l'invio di questi messaggi di spam attraverso le loro botnet per voi. Quindi è sufficiente dire, questo non è una email di particolarmente interessante. Ma anche Harvard e Yale e simili spesso fare errori, in quanto sappiamo da un paio di settimane schiena che si può fare un Link dire www.paypal.com. E sembra che ci va. Ma, naturalmente, in realtà non farlo. E così Harvard e Yale e altri hanno certamente colpevole nel corso degli anni l'invio di e-mail che sono legittimi, ma contengono collegamenti ipertestuali a loro. E noi, come esseri umani, siamo stati allenato da sorta di funzionari, molto spesso, in realtà basta seguire collegamenti che riceviamo in una email. Ma anche questo non è la migliore pratica. Quindi, se mai arrivare una e-mail come questo-- e forse è da Paypal o Harvard o Yale o Bank of America o il like-- ancora non dovrebbe fare clic il collegamento, anche se sembra legittimo. È necessario digitare manualmente che voi stessi l'URL. E, francamente, questo è ciò che l'amministratore di sistema dovrebbe essere ci dice di fare in modo che non stiamo indotti a farlo. Ora, come molti di voi, forse da guardando al vostro posto, hanno scritto le password da qualche parte? Forse in un cassetto in camera dormitorio o forse under-- in uno zaino da qualche parte? Portafoglio? No? PUBBLICO: In una cassetta di sicurezza a prova di fuoco? DAVID MALAN: In una cassetta di sicurezza a prova di fuoco? OK. Ecco, questo è meglio di una nota adesiva sul monitor. Quindi certamente, alcuni si sta insistendo no. Ma qualcosa mi dice che sta Non necessariamente il caso. Così come su un più facile, più probabile interrogo quanti di voi stanno usando il stessa password per più siti? Oh ok. Ora stiamo essere onesti. Tutto ok. Ecco, questo è una notizia meravigliosa, giusto? Perché se significa se solo uno di quelli siti che tutto sta utilizzando è compromessa, ora l'avversario ha accesso a più dati su di te o più exploit potenziali. Ecco, questo è facile da evitare. Ma quanti di voi hanno un Password abbastanza da indovinare? Forse non è così male come questo, ma qualcosa? Per qualche sito stupido, giusto? Non è ad alto rischio, non dispone di una carta di credito? Tutti noi. Come, anche io ho password che sono probabilmente solo 12345, sicuramente. Così ora prova ad accedere in ogni sito web si può pensare con malan@harvard.edu e 12345 e vedere se funziona. Ma facciamo anche questo. Allora perchè? Perché così tanti di noi hanno entrambi abbastanza password facili o le stesse password? Qual è il mondo reale Razionale per questo? E 'più facile, giusto? Se ho detto invece, accademicamente, ragazzi in realtà dovrebbe essere la scelta password pseudocasuali che sono lunghe almeno 16 caratteri e hanno una combinazione di lettere alfabetiche, numeri e simboli, che diavolo sta succedendo essere in grado di farlo o ricordare le password, nonché per ciascuno e ogni sito web possibile? Così che cosa è una soluzione praticabile? Ebbene, una delle grande takeaway oggi, troppo, pragmaticamente, sarebbe essere, onestamente, per iniziare utilizzando qualche tipo di gestore di password. Ora, ci sono aspetti positivi e aspetti negativi di queste cose, anche. Questi sono due che abbiamo tendono a raccomandare a CS50. Uno di chiamata tasto 1Password. Uno si chiama LastPass. E alcuni di voi potrebbero usare questi già. Ma è generalmente un pezzo di software che non agevolare generando grande password pseudocasuali che non può assolutamente ricordare come un essere umano. Memorizza quelli pseudorandom password nel proprio database, speriamo che sul disco locale drive-- criptato, meglio ancora. E tutto quello che, l'umano, sono da ricordare, tipicamente, è la password master, che probabilmente sta per essere super lungo. E forse non è caratteri casuali. Forse è, come, una frase o un breve paragrafo che si può ricordare e è possibile digitare una volta al giorno per sbloccare il computer. Quindi si utilizza un particolarmente grande password per proteggere e crittografare tutte le altre password. Ma ora sei nel abitudine di usare il software in questo modo per generare pseudo le password attraverso tutti i siti web tu visiti. E in effetti, posso comodamente dicono ora, nel 2015, Non conosco la maggior parte dei più la mia password. So che il mio master password, e digito che, inconsapevolmente, una o più volte al giorno. Ma il vantaggio è che ora, se qualsiasi dei miei conti uno è compromessa, non c'è modo qualcuno è intenzione di utilizzare tale account per entrare in un altro perché nessuno di la mia password è più la stessa. E certamente, nessuno, anche se lui o lei scrive software contraddittorio a forza bruta le cose e indovinare tutti i possibili passwords-- le probabilità che stanno andando a scegliere i miei 24 caratteri password lunghe è proprio così, così in basso io non sono solo preoccupato che la minaccia più. Allora qual è il trade-off qui? Che sembra meraviglioso. Io sono molto più sicuri. Qual è il trade-off? Sì? PUBBLICO: Time. DAVID MALAN: Tempo. E 'molto più facile tipo 12345 e ho effettuato l'accesso in contro qualcosa che è 24 caratteri o di un breve paragrafo. Cos'altro? PUBBLICO: se qualcuno riesce la password principale. DAVID MALAN: Sì. Quindi stai tipo di cambiare uno scenario di minaccia. Se qualcuno indovina o figure fuori o si legge nella nota di post-it nel vault sicura dei file, la master password che hai, ora tutto è compromesso per cui in precedenza era forse un solo account. Cos'altro? PUBBLICO: Se si desidera utilizzare qualsiasi i tuoi account su un altro dispositivo e non si dispone di LastPass [incomprensibile]. DAVID MALAN: Sì, questo è una specie di cattura, anche. Con questi strumenti, anche se non avete il computer e ci si trovi, come, un po 'di caffè o sei a casa di un amico o di un laboratorio informatico o dove e vuoi per accedere a Facebook, tu non sai nemmeno cosa la password di Facebook è. Ora a volte, è possibile attenuare questo avendo una soluzione che ne parleremo in un attimo chiamato autenticazione a due fattori per cui Facebook sarà testo voi o invierà un messaggio cifrato speciale sul tuo cellulare o qualche altro dispositivo che si portare in giro sul vostro portachiavi con che è possibile accedere. Ma questo è, forse, fastidioso se siete nel seminterrato del centro di scienza o altrove qui al campus di New Haven. Si potrebbe non avere il segnale. E quindi non è necessariamente la soluzione. Così è davvero un trade-off. Ma quello che vorrei incoraggiarvi a fare-- se si va al sito web di CS50, in realtà abbiamo organizzato per la prima delle queste aziende per una licenza di sito, per così dire, per tutti gli studenti CS50 in modo da non dover pagare $ 30 o almeno così normalmente costa. Per Mac e Windows, è possibile controllare 1Password gratuitamente sul sito di CS50, e noi provvederemo a collegare con quella. Realizzare anche che alcuni questi tools-- compresi LastPass in una delle sue forms-- è cloud-based, come Colbert dice, il che significa che le password sono encryptedly memorizzati nella nuvola. L'idea è che si può andare a qualche persona casuale o il computer di un amico e accedi al tuo Facebook conto o simili perché prima di andare a lastpass.com, accedere la password, e poi digitarlo. Ma qual è lo scenario di minaccia lì? Se stai memorizzare le cose nella nuvola, e sei Accedendo che il sito web su alcuni computer sconosciuto, ciò che potrebbe essere tuo amico fare a voi o ai vostri tasti? OK. Sarò avanzare manualmente scivola qui in avanti. Keylogger, giusto? Un altro tipo di malware di è un keylogger che è solo un programma che effettivamente registra tutto ciò che si digita. Quindi c'è, anche, probabilmente è meglio avere qualche dispositivo secondario come questo. Allora, qual è l'autenticazione a due fattori? Come suggerisce il nome, è di avere non uno ma due fattori con cui per l'autenticazione a un sito web. Quindi, piuttosto che utilizzare solo una password, hai qualche altro secondo fattore. Ora, che in genere è, uno, fattore è qualcosa che si sa. Quindi, qualcosa tipo di a l'occhio della mente, che è la password che hai memorizzato. Ma due, non qualcos'altro che si sa o ha memorizzato ma qualcosa che hai fisicamente. L'idea qui è la tua minaccia non è più potrebbe essere una qualche persona a caso su Internet che può solo indovinare o scoprire la password. Lui o lei deve avere fisico accesso a qualcosa che si ha, che è ancora possibile e ancora, forse, tanto più fisicamente minaccioso. Ma è almeno diverso tipo di minaccia. Non è un milione di persone senza nome là fuori cercando di ottenere ai vostri dati. Ora è una molto specifica persona, forse, che, se questo è un problema, che è Un altro problema del tutto, pure. In modo che esiste in generale per i telefoni o altri dispositivi. E, infatti, Yale appena rotolato questo fuori di metà semestre tale che ciò non influisce persone in questa stanza. Ma chi di voi segue lungo a New Haven sapere che se ci si accede nel vostro ID yale.net, oltre a digitare la nome utente e la tua password, si sta quindi chiesto con questo. E, per esempio, questo è un screenshot Ho preso questa mattina quando mi sono collegato al mio account di Yale. E mi manda l'equivalente di un messaggio di testo al mio cellulare. Ma in realtà, ho scaricato un app in anticipo che Yale ora distribuisce, e devo ora solo digitare il codice che mandano al mio telefono. Ma per essere chiari, il vantaggio di questo è che ora, anche se qualcuno cifre fuori la mia password di Yale, sono al sicuro. Questo non è abbastanza. Questa è solo una chiave, ma io bisogno di due di sbloccare il mio conto. Ma qual è il rovescio della medaglia, forse, del sistema di Yale? E ve lo faremo sapere Yale. Qual è il lato negativo? Che cos'è? Se non si dispone di servizio cellulare o se si non hanno accesso Wi-Fi perché sei solo in un seminterrato o qualcosa, potrebbe non essere in grado di ottenere il messaggio. Per fortuna, in questo caso particolare, questo userà Wi-Fi o qualcosa d'altro, che funziona intorno. Ma un possibile scenario. Cos'altro? Si potrebbe perdere il telefono. Devi solo non ce l'hai. La batteria muore. Voglio dire, c'è un certo numero scenari di fastidiosi ma possibili scenari che potrebbe accadere che ti fanno rimpiangere questa decisione. E il peggio possibile risultato, francamente, poi sarebbe per gli utenti disabilitare questa del tutto. Quindi c'è sempre in corso essere questa tensione. E dovete trovare da soli come utente sorta di uno sweet spot. E per fare questo, prendere un paio di proposte concrete. Se si utilizza Google Gmail o Google Apps, sapere che se si va a questo URL qui, è possibile attivare a due fattori autenticazione. Google lo chiama la verifica 2-step. E si fa clic su Imposta, poi si fa esattamente questo. Questa è una buona cosa da fare, in particolare in questi giorni perché, grazie a biscotti, si è registrato in quasi tutto il giorno. In modo da avere raramente digitare comunque la password. Così si potrebbe fare una volta un settimana, una volta al mese, una volta al giorno, ed è meno di un grande trattare rispetto al passato. Facebook, troppo, ha questo. Se sei un po 'troppo sciolto con la tipizzazione la password di Facebook in amici ' computer, almeno consentire a due fattori autenticazione in modo che l'amico, anche se lui o lei ha un keystroke logger, essi non possono entrare nel tuo account. Beh, perché? Non potrebbero fare il login la codice che ho digitato sul mio telefono che Facebook ha inviato a me? PUBBLICO: [incomprensibile]. DAVID MALAN: Sì. Il software ben progettato cambierà tali codici che vengono inviati al telefono ogni pochi secondi o ogni volta e in modo tale che, sì, anche se lui o lei capisce ciò che il codice è, sei ancora sicuro perché sarà scaduto. E questo è quello che sembra come sul sito di Facebook. Ma c'è un altro approccio del tutto. Quindi, se questo tipo di trade-off Non sono particolarmente allettante, un principio generale in materia di sicurezza sarebbe essere, beh, solo almeno le cose di audit. Non tipo di mettere la testa nella sabbia e appena mai sapere se e quando sei stato compromesso o attaccati. Almeno istituire un meccanismo che informa immediatamente se qualcosa di anomalo è accaduto in modo che almeno stretto la finestra di tempo durante che qualcuno può fare danni. E con questo, voglio dire il following-- Facebook, per esempio, è possibile attivare su ciò che chiamano avvisi di login. E in questo momento, ho attivato e-mail login avvisi, ma non le notifiche. E ciò significa che se le comunicazioni di Facebook Ho effettuato l'accesso in un nuovo computer-- come non ho un cookie, Si tratta di un indirizzo IP diverso, è un diverso tipo di computer-- essi, in questo scenario, invia me una mail dicendo, ehi, David. Sembra che l'accesso da un del computer sconosciuto, appena cronaca. Ed ora il mio account potrebbe essere compromesso, o il mio fastidioso amico avrebbe potuto essere la registrazione in il mio account adesso postare cose il mio feed di notizie o simili. Ma almeno la quantità di tempo con la quale io sono ignorante di quella è super, super stretto. E posso spera rispondere. Quindi, tutti e tre di questi, vorrei per esempio, sono cose molto buone da fare. Quali sono alcune minacce che sono un po 'più difficile per noi utenti finali per la protezione contro? Qualcuno sa cosa dirottamento di sessione è? Si tratta di una minaccia più tecnica, ma molto familiare ora che siamo fatto PSET sei e sette e ora otto. Così, ricordate che quando si invia il traffico su Internet, alcune cose accadono. Lasciami andare avanti e accedere a c9 o CS50.io. Dammi solo un momento accedere al mio account jHarvard. PUBBLICO: Qual è la tua password. DAVID MALAN: 12345. Tutto ok. E qui, so che se vado avanti e richiedere un web page-- e nel frattempo, mi permetta di fare questo. Lasciatemi apro ispettore di Chrome scheda e il mio traffico di rete. E lasciami andare a http://facebook.com e chiaro questo. In realtà, sai una cosa? Andiamo in un più familiare tra-- https://finance.cs50.net e premere Invio e log il traffico di rete qui. Così notare qui, se guardo nel mio traffico di rete, risposta headers-- andiamo qui. Risposta headers-- qui. Quindi la prima richiesta che inviato, che è stato per la pagina predefinita, ha risposto con queste intestazioni di risposta. E abbiamo parlato cose come posizione. Come, posizione significa reindirizzare login.php. Ma una cosa che non parlava una enorme importo circa era righe come questo. Quindi questo è all'interno del busta virtuale che è inviato da CS50 Finance-- la versione voi ragazzi ha scritto, too-- al portatile di un utente o un computer desktop. E questa è l'impostazione di un cookie. Ma che cosa è un cookie? Ripensate alla nostra discussione di PHP. Sì? Sì, è un modo di raccontare la sito web che si sta ancora collegato. Ma come funziona? Beh, dopo la visita finance.cs50.net, sembra che quel server che abbiamo implementato è impostando un cookie. E quel cookie è convenzionalmente chiamare PHPSESSID ID di sessione. E si può pensare ad esso come un bollo virtuale in un club o, come, un parco divertimenti, un piccolo pezzo di inchiostro rosso che va sulla vostra mano in modo che la prossima volta che si visita il cancello, si mostra semplicemente la vostra mano, e il buttafuori alla porta vi permetterà di passare o non a tutti sulla base di tale timbro. Quindi la successiva chiede che il mio browser sends-- se vado alla richiesta successiva e si guardano le intestazioni di richiesta, si noterà più roba. Ma il più importante è questo porzione evidenziata qui-- Non impostare dei cookie ma biscotto. E se io sfoglio tutti di quelle successive richieste HTTP, ogni volta che mi piacerebbe vedere una mano essere stato prorogato con quella stessa PHPSESSID, vale a dire questo è il mechanism-- questo grande pseudorandom number-- che un server utilizza per mantenere l'illusione di $ _SESSION oggetti di PHP, in cui è possibile memorizzare le cose come ID dell'utente o ciò che è in loro carrello o qualsiasi numero di altri dati. Allora, qual è l'implicazione? Beh, e se tale i dati non è crittografato? E, infatti, abbiamo per la migliore pratica crittografare o meno ogni uno dei siti web di CS50 in questi giorni. Ma è molto comune in questi giorni per i siti web ancora non avere a HTTPS l'inizio della URL. Sono solo HTTP, colon, taglio su barra. Allora, qual è l'implicazione lì? Ciò significa semplicemente che tutte queste intestazioni sono all'interno di quella busta virtuale. E chi annusa l'aria o fisicamente intercettazioni che Packet fisicamente può guardare dentro e vedere cosa che cookie è. E così dirottamento di sessione è semplicemente una tecnica che un avversario utilizza per intercettare i dati in aria o su qualche rete cablata, guardare all'interno di questo busta, e vedere, oh. Vedo che il cookie è 2kleu qualunque. Lasciatemi andare avanti e fare una copia del timbro mano e ora iniziare la visita Facebook o Gmail o qualsiasi altra cosa me e solo presentare il esattamente lo stesso bollo. E la realtà è, i browser e server sono davvero così ingenuo. Se il server vede che stesso biscotto, il suo scopo nella vita dovrebbe essere quello di dire, oh, che deve essere David, che ha appena effettuato l'accesso in un po 'fa. Mi permetta di mostrare questo stesso utente, presumibilmente, casella di posta elettronica di David o Facebook messaggi o qualsiasi altra cosa in cui il vostro registrato. E l'unica difesa contro che è quello di crittografare solo tutto all'interno della busta. E per fortuna, un sacco di siti piace Facebook e Google e simili stanno facendo che oggi. Ma quelle che non si lascia perfettamente, perfettamente vulnerabili. E una delle cose che si possono fare-- e una delle caratteristiche molto interessanti, francamente, di 1Password, software Ho detto prima, è se lo si installa sul vostro Mac o PC, il software, inoltre la memorizzazione le password, sarà anche avvisa se hai mai provato la registrazione in un sito web che è intenzione di inviare il tuo username e la password in chiaro e in chiaro, per così dire. Tutto ok. Così dirottamento di sessione si riduce a questo. Ma c'è quest'altra modo in cui intestazioni HTTP può essere utilizzato per sfruttare noi. E questo è ancora un po 'un problema. Questo è in realtà solo un adorabile scusa per mettere in su Cookie Monster qui. Ma Verizon e AT & T e altri hanno preso un sacco di critiche qualche mese fa per l'iniezione, all'insaputa di utenti inizialmente, un header HTTP in più. Così quelli di voi che hanno avuto Verizon Wireless o AT & T cellulare telefoni, e sei stato in visita siti web tramite il vostro telefono, all'insaputa di voi, dopo il vostro HTTP richieste lasciano Chrome o Safari o qualsiasi altra cosa sul telefono, andare Verizon o AT & T del router, essi presuntuosamente da tempo sono stati iniettare un colpo di testa che guarda Questa poi come una coppia chiave-valore dove la chiave è proprio X-UIDH per identificatore univoco intestazione e poi qualche grande valore casuale. E lo fanno così che possono unicamente identificare tutto il traffico web a persone che ricevono la richiesta HTTP. Ora, perché sarebbe Verizon e AT & T e simili vuole identificare in modo univoco a tutti i siti web che stai visitando? PUBBLICO: Meglio servizio clienti. DAVID MALAN: Better-- no. E 'una buona idea, ma è Non per un migliore servizio al cliente. Cos'altro? Pubblicità, giusto? In modo che possano costruire un rete pubblicitaria, presumibilmente, per cui anche se si hanno disattivato i cookie, anche se si dispone di speciale software sul telefono che ti tiene in incognito mode-- ha. Non vi è alcuna modalità in incognito quando il uomo in middle-- letteralmente, Verizon o AT & T-- sta iniettando dati aggiuntivi su cui si ha alcun controllo, rivelando così chi sei tu per quel sito risultante ancora e ancora. Quindi ci sono modi per rinunciare a questo. Ma anche qui, è qualcosa che francamente, l'unico modo per spingere indietro su questo è di lasciare il vettore del tutto, disattivarlo se persino permettono di, o, come è avvenuto in questo caso, fare un po 'di confusione in linea tale che le società realmente rispondono. Anche questo è solo un altro adorabile occasione per mostrare questo. E diamo uno sguardo a, diciamo dire, uno o due minacce finali. Così abbiamo parlato CS50 Finanza qui. Così si noterà che abbiamo questo simpatico piccola icona sul pulsante di login qui. Che cosa significa se io invece utilizzare questa icona? Quindi, prima, dopo. Prima dopo. Che cosa significa dopo significa? E 'sicuro. Questo è quello che vorrei che tu pensi. Ma ironia della sorte, è sicuro perché facciamo avere HTTPS. Ma questo è quanto è facile cambiare qualcosa su un sito web, giusto? Voi tutti sapete un po 'di HTML e CSS ora. E in effetti, è abbastanza facile a-- e se si non ha fatto it-- per cambiare l'icona. Ma anche questo è ciò che aziende ci hanno insegnato a fare. Quindi, ecco uno screenshot da Bank del sito internet dell'America di questa mattina. E notare, uno, sono assicurandomi che è si tratta di un segno sicuro in alto a sinistra. E hanno anche un icona del lucchetto sul pulsante, il che significa che per me, l'utente finale? Davvero niente, giusto? Ciò che conta è il fatto che c'è il grande verde URL sulla parte superiore con HTTPS. Ma se ingrandire questa, appena è come me, conoscendo un po 'di HTML e un po 'di CSS, e dicendo: hey, il mio sito web è sicuro. Come, chiunque può mettere un lucchetto e la parola sicuro sign-on sul loro sito web. E significa veramente nulla. Che cosa vuol dire qualcosa è qualcosa di simile a questo, dove si vede https: // il fatto che Bank of America Corporation ha questa grande barra verde, mentre CS50 non lo fa, semplicemente significa hanno pagato diverse centinaia dollari in più per avere ulteriore la verifica effettuata del loro dominio negli Stati Uniti, in modo che i browser che aderiscono a questo standard ci mostrerà anche un po 'di più di quello. Quindi dovremo lasciare le cose a questo, spaventare un po 'di più in poco tempo. Ma il Mercoledì, saremo raggiunti da SCAZ da Yale per uno sguardo a intelligenza artificiale e che cosa possiamo fare con queste macchine. Ci vediamo la prossima volta.