[Muziek] DAVID MALAN: Dit is CS50, en Dit is het begin van week 10. En je zou kunnen herinneren afbeelding van een paar weken terug toen we spraken over internet en hoe het is eigenlijk fysiek geïmplementeerd. En je zou kunnen herinneren dat er eigenlijk een hele hoop kabels evenals draadloos technologieën die interconnect alle knooppunten of routers en andere deze technologieën op het internet. En veel van die underseas. Nou, het blijkt dat die underseas kabels zijn een beetje van een doel. En lezing van vandaag is geheel over de veiligheid, niet alleen de bedreigingen die we allemaal gezicht fysiek, maar ook praktisch, en ook, in de richting van de staart einde Tegenwoordig enkele afweer dat wij als gebruikers kunnen eigenlijk op zijn plaats te zetten. Maar eerst een van de eerste en misschien wel het meest fysieke threat-- [VIDEO AFSPELEN] -Could Rusland planning een aanval op onderzeese kabels die verbinding wereldwijde internet? -Russisch Schepen en onderzeeërs op de loer in de buurt van onderzeese kabels dat dragen bijna alle van 's werelds internet. -De Hele internet is meegevoerd deze kabels. -eerste Van al, wat is de internet doet onder water? Laatste keer dat ik gecontroleerd, ik ben niet verondersteld om mijn computer nat. Ten tweede, als je het mij vraagt ​​hoe het internet reist van continent naar continent, Ik zou hebben gezegd satellieten of lasers, of, eerlijk gezegd, Ik zou waarschijnlijk alleen dat het internet. En wat gebeurde er met de cloud? Ik werd verteld dat er was een wolk. Weet je nog? He, laten we deze in de cloud. Het was alsof het internet was een damp van informatie die de aarde cirkelt, en uw computer was als een pollepel dat schepte wat je nodig had. Maar het blijkt internet eigenlijk underwater omdat deze kabels dragen meer dan 95% van de dagelijkse internet communicatie. En de Amerikaanse inlichtingendiensten zorgen dat in tijden van spanning of conflict, Rusland zou doen op te doorsnijden. Het zou de grootste ontwrichting om uw internet service omdat je bovenbuurvrouw zet een wachtwoord op zijn Wi-Fi. OK? Probeer de naam van zijn hond. [END AFSPELEN] DAVID MALAN: Voordat we nu naar Enkele virtuele bedreigingen een paar aankondigingen. Dus onze vrienden CrimsonEMS zijn het werven van nieuwe EMT, Emergency Medical Technicians. En dit is eigenlijk iets in het bijzonder dicht bij mijn hart. Een lange tijd geleden, ik herinner me dat in een Ikea kort na het afstuderen, eigenlijk. En toen ik het verlaten van de winkel is dit kleine jongen die in een kinderwagen was begon te draaien letterlijk blauw. En hij stikte op sommige stuk van voedsel dat vermoedelijk had blijven steken in zijn keel. En zijn moeder was in paniek. De ouders om hen heen waren in paniek. En zelfs ik, die een beetje bekendheid had met EMS alleen door middel van vrienden, helemaal bevroor. En het was alleen te danken aan iets als een 15-jarige badmeester die liep over en eigenlijk wist wat te doen instinctief en riep om hulp en eigenlijk trok de jongen uit zijn wagen en eigenlijk gericht de situatie. En voor mij, dat was een keerpunt. En het was dat moment in tijd waar ik besloten, dammit, Ik moet mijn act hebben elkaar en eigenlijk weten hoe te reageren op deze soorten situaties. En dus ik mezelf heb licentie jaar geleden als een EMT. En door middel van graduate school heb ik rijden op MIT ambulance voor een bepaalde periode van tijd ook zo hebben sindsdien hield mijn licentie. En eigenlijk, tot op de dag, alles van CS50 personeel hier in Cambridge daadwerkelijk in CPR gecertificeerd, ook, om soortgelijke redenen. Dus als je helemaal geïnteresseerd bent in deze, is er zal nooit genoeg tijd in zijn de dag iets nieuws over te nemen. Maar als je een New Year's resolutie, doe mee deze jongens hier of overwegen het bereiken van de Rode Kruis voor certificering, hetzij hier of in New Haven, als goed. Dus CS50's laatste lunch is deze vrijdag. Dus als je nog niet bij ons, of als je hebt en je nog een keer wilt, ga op de website van CS50 aan vul het formulier daar. Weet ook, dat onze vrienden in Yale, Professor Scassellati, is het produceren van een AI, kunstmatige intelligentie, serie voor ons dat zal beginnen om debuut Deze week op video. Dus vooral als je geïnteresseerd bent in het nastreven van een afstudeerproject of andere manier in verband met kunstmatige intelligentie, natuurlijke taalverwerking, zelfs robotica, beseffen dat deze wil zijn een prachtige inspiratiebron voor. En alleen maar om u een voorproefje te geven van deze, hier is Scaz zelf. [VIDEO AFSPELEN] -Een Van de echt grote dingen over informatica is dat met nog slechts een paar weken van de studie, je gaat om te kunnen begrijpen veel van het intelligente artefacten en apparaten die bevolken onze moderne wereld. In deze korte video serie, gaan we kijken naar zaken als hoe Netflix is ​​in staat voor te stellen en aan te bevelen films dat ik misschien leuk vindt, hoe het komt dat Siri kan vragen die ik moet beantwoorden, hoe het komt dat Facebook kan mijn gezicht te herkennen en automatisch taggen me in een foto, of hoe Google is in staat om te bouwen een auto die rijdt op zijn eigen. Dus ik hoop dat u samen met mij voor deze korte serie video's, de CS50 AI-serie. Ik denk dat je zult zien dat je weet veel meer dan je dacht dat je deed. [END AFSPELEN] DAVID MALAN: Dus die zal verschijnen op de website van de cursus later deze week. Blijf kijken. En in de tussentijd, een paar mededelingen over wat ons te wachten. Dus we zijn hier. Dit is in onze lezing over veiligheid. Deze komende woensdag, Scaz en Andy, ons hoofd onderwijs collega in New Haven, hier zal zijn om naar te kijken kunstmatige intelligentie zelf voor een blik op berekening voor communication-- hoe systemen die gebruik maken van het bouwen taal om te communiceren vanuit ELIZA, Als je bekend bent met deze bent software van weleer, Siri meer recent en Watson, die u misschien kent van Jeopardy of iets dergelijks. Dan volgende maandag, we zijn niet hier in Cambridge. We zijn in New Haven voor een tweede kijk naar kunstmatige intelligentie met Scaz en company-- AI tegenstanders in games. Dus als je ooit hebt gespeeld tegen de computer in een aantal video game of mobiele game of iets dergelijks, zullen we praten over precies hoe dat-- om tegenstanders te bouwen voor games, hoe ze dingen te vertegenwoordigen onder de motorkap met behulp van bomen van spellen zoals tic-tac-teen schaken werkelijke moderne video games, als goed. Helaas, een quiz is kort daarna. Meer details over die op de CS50's website later deze week. En onze laatste lezing op Yale zal dat vrijdag na de quiz. En onze laatste lezing op de Harvard zal de maandag daarna zijn, door de aard van de planning. En dus in termen van mijlpalen, naast PSET acht van deze week; statusrapport, die zal worden een snel sanity check tussen u en uw onderwijs collega; de Hackathon, die zal hier in Cambridge voor studenten van New Haven en Cambridge gelijk. We zullen zorgen voor alles te nemen vervoer van New Haven. De implementatie van de afstudeerproject verschuldigd. En daarna voor beide campussen zal er een CS50 eerlijk te zijn die ons in staat stelt te nemen een kijkje op en verrukking in wat iedereen heeft bereikt. In feite, ik dacht dat dit zou een goede zijn moment om aandacht te vestigen op dit apparaat hier, die we hebben gebruikt voor een bepaalde hoeveelheid tijd hier, dat is een leuke touch screen. En eigenlijk, de laatste jaar hadden we een $ 0,99 app dat we gedownload van de Windows-app opslaan om te tekenen op het scherm. Maar eerlijk gezegd, het was zeer rommelig. Het ons toeliet om te tekenen op de screen, maar er waren, zoals, veel iconen hier. De gebruikersinterface was nogal slecht. Als je wilde veranderen bepaalde instellingen, Er waren net zo veel verdomd klikken. En de gebruiker interface-- of, beter gezegd, de gebruiker experience-- was vrij suboptimale, vooral gebruikt in een lezing milieu. En dus hebben we stak een vriend van ons bij Microsoft, Bjorn, wie is eigenlijk gevolgd samen met CS50 online. En als zijn laatste project, wezen, hij deed zeer genadig neem wat input van ons precies de functies en user experience wij willen. En hij ging toen over het bouwen voor Windows deze toepassing hier dat ons toelaat om draw-- oops-- en spreuk op the-- wow. Dankjewel. Tekenen en spellen op dit scherm hier met zeer minimale gebruikersinterface. Dus je me hebt gezien, misschien, tik omhoog hier ooit zo iets, waar we nu dingen kunnen benadrukken in het rood. We kunnen schakelen en nu ga naar witte tekst hier. Als we willen eigenlijk verwijderen het scherm, kunnen we dit doen. En als we eigenlijk liever een wit doek, kunnen we dat doen. Dus het zo verschrikkelijk weinig doet by design en doet het goed. Zodat ik futz, hopelijk, veel minder dit jaar in de klas. En dank, ook om een ​​protege van zijn ben ik vandaag het dragen van een kleine ring. Dit is Benjamin, die was interning met Bjorn deze zomer. Dus het is een beetje ring. Het is een beetje groter dan mijn gebruikelijke ring. Maar via een kleine wijzerplaat op de kant hier kan ik eigenlijk bewegen de dia's links en rechts, vooruit en weer terug, en eigenlijk de dingen vooruit draadloos, zodat, een, heb ik niet om door te gaan terug naar de spatiebalk hier. En twee, heb ik niet te hebben één van die stomme clickers en bezighouden mijn hand door te oordelen dat ding de hele tijd met het oog op klikt. En zeker, in de tijd, zal de hardware als deze krijg super, super kleiner. Dus zeker, aarzel niet buiten de box te denken en dingen te doen en te creëren dingen die niet doen, zelfs Er bestaan ​​nog voor de definitieve projecten. Zonder verdere omhaal, een blik op wat te wachten staat als je een duik nemen in uw uiteindelijke projecten bij de CS50 Hackathon [VIDEO AFSPELEN] [Muziek] [SNORING] [END AFSPELEN] DAVID MALAN: Oké. Dus de Stephen Colbert clip dat ik zojuist vertoonde was eigenlijk op TV een paar dagen geleden. En inderdaad, een paar andere clips we zullen zien vandaag zijn ongelooflijk recent. En in feite, dat spreekt tot de werkelijkheid die zo veel van de technologie en, eerlijk gezegd, veel van de ideeën we hebben het over in CS50 echt zijn alomtegenwoordig. En een van de doelstellingen van de cursus is zeker om u uit te rusten met technische vaardigheden, zodat dat je eigenlijk problemen kunnen oplossen programmatisch, maar twee, zodat je kunt eigenlijk betere beslissingen nemen en weloverwogen beslissingen te nemen. En inderdaad, thematische gehele pers en online video's en artikelen deze dagen is gewoon een beangstigende misverstand of gebrek begrip van hoe technologie werkt, vooral onder politici. En zo ja, in slechts een beetje we zullen een kijkje nemen op een van die details, ook. Maar letterlijk duren nacht zat ik in Bertucci's, een lokale franchise Italiaanse plaats. En ik sprong op hun Wi-Fi. En ik was erg gerustgesteld om te zien dat het veilig is. En ik wist dat, omdat het zegt hier "Secure Internet Portal" wanneer het scherm kwam. Dus dit was de kleine prompt die komt in Mac OS of Windows wanneer u verbinding een Wi-Fi-netwerk voor de eerste keer. En ik moest lezen via hun voorwaarden en de voorwaarden en tot slot op OK. En toen mocht ik om door te gaan. Dus laten we beginnen nadenken wat al dit betekent en niet langer duren toegekend wat mensen ons vertellen wanneer we ontmoeting met verschillende technologie. Zodat men, wat betekent dat Dit is een beveiligde internet portal? Wat kon Bertucci's me geruststellend van? Publiek: De verzonden pakketten heen en weer worden gecodeerd. DAVID MALAN: Goed. De pakketten die worden teruggestuurd en weer worden gecodeerd. Is dat inderdaad het geval? Als dat het geval was, wat zou ik moeten doen of wat ik zou moeten weten? Nou, je zou een beetje te zien hangslot in Mac OS of in Windows te zeggen dat Er is inderdaad een aantal encryptie of klauteren gaande. Maar voordat je een versleutelde kunt gebruiken portal of Wi-Fi-verbinding, wat moet je meestal type in? Een wachtwoord. Ik weet dat een dergelijk wachtwoord, noch had ik een dergelijk wachtwoord in te voeren. Ik heb gewoon klikte OK. Dus dit is volkomen zinloos. Dit is niet een beveiligde internet portal. Dit is een 100% onveilige internet portal. Er is absoluut geen encryptie te gaan op, en dat alles maakt het veilig is dat drie-woord zin op het scherm daar. Dus dat betekent niets, noodzakelijkerwijs technologisch. En een beetje meer zorgwekkend, als u daadwerkelijk Lees de voorwaarden, die verrassend leesbaar was dit-- "u begrijpen dat we behouden het recht om in te loggen of monitor verkeer naar zorgen dat deze voorwaarden worden nageleefd. " Dus dat is een beetje griezelig, als Bertucci's let op mijn internet verkeer. Maar de meeste elke overeenkomst die je blindelings hebt geklikt heeft toch gezegd dat vóór. Dus wat doet die eigenlijk bedoel technologisch? Dus als er wat griezelig man of vrouw in de rug wie is, net als, bewaking al het internetverkeer, hoe wordt hij of zij toegang die informatie precies? Wat zijn de technologische middelen via welke dat person-- of tegenstander, meer generally-- kunnen kijken naar onze verkeer? Nou, als er geen encryptie, wat allerlei dingen konden ze ruiken, zo te zeggen, een soort van sporen in de lucht. Wat zou je kijkt naar? Ja? Publiek: De pakketten worden verzonden van uw computer naar de router? DAVID MALAN: Ja. De pakketten worden verzonden de computer naar de router. Dus je zou herinneren wanneer we waren in New Haven, passeerden we die enveloppen, fysiek, gehele publiek te vertegenwoordigen gegevens gaan via het internet. En zeker, als we gooien ze door het publiek draadloos om hun bestemming te bereiken, kan iedereen soort van pak het en maak een kopie van en eigenlijk zien wat er binnenzijde van die enveloppe. En natuurlijk, wat binnenkant van deze enveloppen is een aantal dingen, waaronder het IP adres dat je probeert om toegang tot of de hostnaam, zoals www.harvard.edu of yale.edu dat je probeert om toegang te krijgen of iets heel anders. Bovendien is het pad, too-- je weet uit PSET zes dat de binnenkant van HTTP-verzoeken zijn krijgen slash something.html. Dus als je een bezoek aan een bepaalde pagina, een specifiek beeld of video te downloaden, al die informatie is de binnenkant van dat pakket. En dus iedereen daar in Bertucci's blikje te kijken naar diezelfde data. Nou, wat zijn sommige andere dreigingen langs deze lijnen indachtig voordat je te zijn gewoon beginnen te accepteren als een feit wat iemand als Bertucci's gewoon je vertelt? Nou, dit was een article-- een serie artikelen dat kwam slechts een paar maanden terug. Al de woede van deze dagen zijn deze nieuwerwetse slimme tv's. Wat is een slimme tv, als je hebt van hen gehoord of een thuis? Doelgroep: Internet-verbinding? DAVID MALAN: Ja, internet connectiviteit. Dus over het algemeen, een slimme TV is een Tv met internet connectiviteit en een echt waardeloze gebruiker interface die maakt het moeilijker om daadwerkelijk gebruik maken van het web want je moet gebruiken, zoals, up, omlaag, naar links en rechts of iets op uw afstandsbediening gewoon om dingen die zijn zo veel toegang meer gemakkelijk gedaan op een laptop. Maar meer zorgelijk over een Smart TV, en Samsung tv's in dit specifieke geval, was dat Samsung TV's en anderen deze dagen komen met bepaalde hardware te creëren wat zij beweren is een betere gebruikersinterface voor u. Dus, kun je praten sommige van uw tv deze dagen, niet anders Siri of de andere equivalenten op mobiele telefoons. Dus je kunt zeggen commando's, zoals verandering kanaal volume verhogen, uit te schakelen, of iets dergelijks. Maar wat is de implicatie van die logisch? Als je hebt de tv in uw living kamer of de TV aan de voet van uw bed in slaap te vallen, wat is de implicatie? Ja? Publiek: Er zou iets zijn naar binnen via het mechanisme om uw toespraak te detecteren. DAVID MALAN: Ja. Doelgroep: Dat zou worden verzonden via internet. Als het ongecodeerde, dan is het kwetsbaar. DAVID MALAN: Inderdaad. Als u een ingebouwde microfoon in een tv en zijn doel in het leven wordt, door het ontwerp, om te luisteren aan u en op je reageren, het is zeker gaat worden luisteren naar alles wat je zegt en dat voor het vertalen sommige ingesloten instructies. Maar de vangst is dat de meeste van deze TV's zijn niet perfect zichzelf slim. Ze zijn erg afhankelijk van dat internet verbinding. Zoveel als Siri, wanneer je praat in uw telefoon, snel stuurt die gegevens over internet naar Apple servers, dan krijgt een antwoord terug, letterlijk is de Samsung TV en equivalenten gewoon alles wat je bent het verzenden gezegde in uw woonkamer of slaapkamer om hun servers gewoon om detecteren zei hij, zet de tv of uitschakelen van de TV? En God weet wat anders zou kunnen worden uitgesproken. Nu, er is een aantal manieren om dit te beperken, toch? Zoals wat doet Siri en wat doet Google en anderen tenminste verdedigen tegen dat het risico bestaat dat ze luisteren naar absoluut alles? Het moet geactiveerd door iets te zeggen als, hey, Siri, of hi Google of dergelijke of OK, Google of iets dergelijks. Maar we weten allemaal dat die uitdrukkingen soort zuigen, toch? Zoals ik was gewoon sitting-- eigenlijk de laatste keer Ik was bij de kantooruren aan de Yale, denk ik, Jason of een van de TF's bleef schreeuwen, als, hey, Siri, hey, Siri en was het maken van mijn telefoon dingen te doen, want hij was ook proximale aan mijn telefoon. Maar het omgekeerde is ook waar. Soms zijn die dingen gewoon kick op want het is onvolmaakt. En inderdaad, de natuurlijke taal processing-- begrijpen frasering mens en dan is er iets te doen op basis van het-- is zeker onvolmaakt. Nu, erger nog, een aantal van u misschien hebt gezien of hebben een televisie, waar u kunt doen dom of new-age dingen als dit veranderen van kanalen naar links of dit kanaal te veranderen naar rechts of verlaag het volume of het volume te verhogen. Maar wat betekent dat de TV? Een camera op je gericht te allen tijde mogelijk. En in feite is de heisa rond Samsung Televisies waarvoor ze nam wat flack is dat als je lees de voorwaarden en condities van de TV-- het ding je zeker nooit gelezen bij het uitpakken TV voor de eerste tijd-- ingebed was er een kleine disclaimer zeggen het equivalent van, een die u misschien niet wilt persoonlijk te hebben gesprekken in de voorkant van de TV. En dat is wat het vermindert aan. Maar je moet niet eens moeten worden verteld dat. Je moet in staat zijn om afleiden uit de realiteit dat de microfoon en camera letterlijk wijzend op me de hele tijd Misschien is meer slecht dan goed. En eerlijk gezegd, dit zeg ik ietwat hypocriet. Ik heb letterlijk naast die camera's, Ik heb een klein camera hier in mijn laptop. Ik heb een andere hier. Ik heb het in mijn cellphone op beide zijden. Dus opdat ik zet het neer de verkeerde manier, zij kan nog steeds kijken me en luister naar me. En dit alles zou kunnen zijn gebeurt de hele tijd. Dus wat houdt mijn iPhone of Android telefoon van het doen dit de hele tijd? Hoe weten we dat Apple en sommige griezelig persoon bij Google, niet luisteren naar dit zeer gesprek via de telefoon of gesprekken Ik heb thuis of op het werk? Publiek: Omdat onze levens zijn niet zo interessant. DAVID MALAN: Omdat ons levens zijn niet zo interessant. Die eigenlijk een geldig antwoord. Als we niet bezorgd over een bepaalde bedreiging, Er is een soort die geeft aspect aan. Kleine oude mij is niet van plan om echt een doel zijn. Maar ze zeker konden. En dus zelfs al zie je een aantal cheesy dingen op tv en films, als, oh, laten we zet de grid en-- als Batman doet dit veel, eigenlijk, en eigenlijk kan zien Gotham, wat is gebeurt door middel van de mensen mobiele telefoons of iets dergelijks. Een deel van dat is een beetje futuristisch, maar we zijn er vrij veel van deze dagen. Bijna alle van ons zijn rondlopen met GPS transponders die vertellen Apple en Google en iedereen die wil weten waar we zijn in de wereld. We hebben een microfoon. We hebben een camera. We vertellen dingen zoals SNAPCHAT en andere toepassingen iedereen die we kennen, al hun telefoonnummers, al hun e-mailadressen. En dus nogmaals, een van de afhaalrestaurants Vandaag hopelijk om ten minste pause een beetje voor blindelings zeggen, OK als u wilt dat de gemak van SNAPCHAT weten wie al je vrienden is. Maar omgekeerd, nu SNAPCHAT weet iedereen die je kent en alle briefjes je misschien hebben gemaakt in uw contacten. Dus dit was een tijdige één, ook. Een paar maanden terug, SNAPCHAT zelf was niet aangetast. Maar er was een aantal toepassingen van derden dat maakte het gemakkelijker om op te slaan snaps en de vangst was dat service van derden werd zelf gecompromitteerd, voor een deel omdat de service SNAPCHAT's ondersteund een functie die ze waarschijnlijk moet niet, hetgeen de Deze archivering door een derde partij. En het probleem was dat een archief van, als, 90.000 kiekjes, denk ik, Uiteindelijk werden gecompromitteerd. En dus zou je enige troost te nemen aan dingen zoals SNAPCHAT zijn kortstondige, rechts? Je hebt zeven seconden naar te kijken dat ongepast bericht of notitie, en dan verdwijnt. Maar één, de meeste van jullie waarschijnlijk bedacht hoe om screenshots te nemen nu, die is de meest eenvoudige manier om dat te omzeilen. Maar twee, is er niets stoppen van de bedrijf of de persoon die er op het internet onderscheppen dat data, potentieel, als goed. Dus dit was letterlijk slechts een dag of twee geleden. Dit was een leuk artikel kop op een website online. "Epic Fail-- Vermogen Worm Ransomware ongeluk vernietigt Gegevens slachtoffer Tijdens encryptie. " Dus een andere geript van de headlines soort dingen hier. Dus je zou kunnen hebben gehoord van malware, die kwaadaardig software-- zo slecht software dat mensen met te veel vrije tijd schrijven. En soms is het gewoon doet domme dingen zoals bestanden verwijderen of stuur spam of iets dergelijks. Maar soms, en in toenemende mate, het is meer verfijnd, toch? U weet allemaal hoe ploeteren in encryptie. En Caesar en Vigenere zijn niet super veilig, maar er zijn andere, zeker, die meer verfijnd. En dus wat deze tegenstander deed werd een stuk van malware schreef dat een of andere manier besmet een stelletje computers van mensen. Maar hij soort een idioot was en schreef een buggy versie van deze malware zodat wanneer hij implementeerde de code-- oh, we zijn krijgt veel van-- sorry. We krijgen een heleboel raakt op de microfoon. OK. Wat het probleem was dat hij of zij schreef enkele slechte code. En dus zijn ze gegenereerd pseudo een encryptiesleutel waarmee versleutelen de gegevens van iemand kwaadwillig, en vervolgens per ongeluk gooide weg de encryptiesleutel. Dus het effect van deze malware was niet zoals de bedoeling is, om gegevens losgeld iemand door versleutelen van zijn of haar harde schijf en dan verwacht US $ 800 in ruil de coderingssleutel, waarna het slachtoffer kon decoderen van zijn of haar gegevens. Integendeel, de bad guy gewoon versleutelde alle data op hun harde schijf, per ongeluk verwijderde de encryptiesleutel, en kreeg geen geld van te maken. Maar dit betekent ook dat het slachtoffer is echt een slachtoffer, want nu hij of zij kan geen van de gegevens te herstellen, tenzij ze eigenlijk hebben een aantal oude school backup ervan. Dus ook hier is een soort van een werkelijkheid dat u zult lezen over deze dagen. En hoe kun je verdedigen tegen dit? Nou, dit is een heel blikje wormen, no pun intended, over virussen en wormen en dergelijke. En er is zeker software waarmee je jezelf kunt verdedigen. Maar beter dan dat alleen maar om slim over. Sterker nog, ik haven't-- dit is een van deze doen wat ik zeg, niet zoals ik dingen te doen, perhaps-- Ik heb niet echt gebruikt antivirus software in jaren want als je over het algemeen weet wat te zoeken, je kan verdedigen tegen de meeste alles op uw eigen. En eigenlijk, tijdige hier bij Harvard-- was er een bug of een probleem vorige week, waar Harvard is duidelijk, als, monitoring van veel netwerkverkeer. En jullie allemaal nog een bezoek aan de website van CS50's misschien een waarschuwing gezegde hebben gekregen dat u deze website niet te bezoeken. Het is niet veilig. Maar als je probeerde een bezoek Google of andere sites, Ook die waren ook onzeker. Dat komt omdat Harvard, ook, heeft een soort filtersysteem dat is een oogje op potentieel schadelijke websites om ons te helpen te beschermen tegen ons. Maar zelfs die dingen zijn duidelijk onvolmaakt, zoniet buggy, zelf. Dus hier-- als je nieuwsgierig bent, zal ik Laat deze slides up online-- is de actuele informatie dat de tegenstander gaf. En hij of zij was vraagt ​​in bitcoin-- die een virtuele currency-- is $ 800 VS om daadwerkelijk decoderen van uw gegevens. Helaas werd volledig verijdeld. Dus nu zullen we kijken naar iets meer politiek. En nogmaals, het doel is hier om te beginnen na te denken over hoe kunt u beter geïnformeerde beslissingen te nemen. En dit is iets gebeurt momenteel in het Verenigd Koninkrijk. En dit was een geweldige slogan uit een artikel over. Het Verenigd Koninkrijk is de invoering, als je zult zien, een nieuwe surveillance wetsvoorstel waarbij het Verenigd Koninkrijk is stelt voor om alles te controleren de Britten doen voor een periode van één jaar. En dan worden de gegevens weggegooid. Citaat, unquote, "Het zou serveren een tirannie ook. " Dus laten we eens een kijkje nemen met een vriend van Mr. Colbert's. [VIDEO AFSPELEN] -Welkom, Welkom, welkom "Laatste Week Tonight." Heel erg bedankt voor het samenvoegen van ons. Ik ben John Oliver. Alleen tijd voor een korte samenvatting van de week. En we beginnen met het Verenigd Koninkrijk, Tenminste magische koninkrijk op aarde. Deze week, het debat woedt op er over een omstreden nieuwe wet. -De Britse regering is onthulling nieuwe surveillance wetten dat zijn macht aanzienlijk te verlengen de activiteiten van mensen online te volgen. -Theresa Moge er gesprekken het een licence to operate. Anderen hebben het een genaamd charter snooper's, hebben ze niet? Nou, wacht because-- snooper's charter is niet de juiste uitdrukking. Dat klinkt als de overeenkomst een acht-jaar-oude is gedwongen om veelbelovende te kloppen ondertekenen voordat hij ingaat slaapkamer van zijn ouders. Dexter, ondertekenen charter van deze snooper of kunnen wij niet verantwoordelijk voor wat worden gehouden je zou kunnen zien. Dit wetsvoorstel zou kunnen schrijven in de wet een grote inbreuk op de privacy. -Onder De plannen, een overzicht van websites bezocht door elke persoon in het Verenigd Koninkrijk wordt bewaard gedurende een jaar konden de politie en veiligheidsdiensten ter beschikking worden gesteld services. -Deze Communicatie gegevensverzameling niet onthullen de exacte webpagina die u bekeek, maar het zou de plaats was aan te tonen. -OK. Dus zou Bewaar de exacte pagina, maar de website. Maar dat is nog steeds een heleboel informatie. Bijvoorbeeld, als iemand bezocht orbitz.com, zou je weten dat ze waren denken over het nemen van een reis. Als ze bezocht yahoo.com, zou je weten dat ze had net een beroerte en vergat het woord 'google'. En als ze bezocht vigvoovs.com, zou je weet dat ze geil en hun B-toets werkt niet. En toch voor al het vegen de bevoegdheden van de factuur bevat, Britse minister van Binnenlandse Zaken Theresa May dringt erop aan dat de critici het uit hebben geblazen proportie. -Een Internetverbinding record is een record van de communicatiedienst dat iemand heeft gebruikt, niet een record van iedere webpagina die zij hebben benaderd. Het is gewoon de moderne equivalent van een gespecificeerde telefoonrekening. Ja, maar dat is niet zo geruststellend als ze denkt dat het is. En ik zal je vertellen waarom. Ten eerste, ik wil niet dat de overheid naar mijn telefoontjes niet. Ten tweede, een surfen op het internet geschiedenis is een beetje anders een gespecificeerde telefoonrekening. Niemand wist verwoed hun telefoon factuur elke keer dat ze af te bellen. [END AFSPELEN] DAVID MALAN: Een patroon opkomende hoe bereid ik me voor de klas. Het is gewoon om tv te kijken voor een week en zien wat eruit komt, duidelijk. Dus dat was ook gewoon van de laatste nacht op "Vorige week Tonight." Dus laten we beginnen te praten nu over een aantal van de verdediging. Inderdaad, iets als dit, waar de Britten voorstellen om een ​​logboek bij van dat soort te houden van gegevens, waarbij het misschien komen uit? Nou, herinneren van PSET zes, PSET zeven en acht PSET nu dat de binnenkant van die virtuele envelopes-- althans voor HTTP kunnen zijn berichten die er zo uitzien. En dus dit bericht, natuurlijk niet alleen geadresseerd aan een specifiek IP-adres, die de overheid hier of daar kan zeker te melden. Maar zelfs binnenin dat omhulsel een expliciete vermelding van de domeinnaam dat wordt bezocht. En als het niet alleen slash, het misschien eigenlijk zijn een specifieke bestandsnaam of een specifiek beeld of film of, nogmaals, niets van voor u interessant zou kunnen worden zeker afgeluisterd als alle netwerkverkeer een of andere manier wordt proxy door middel van gouvernementele servers, zoals reeds gebeurt in sommige landen, of indien zijn een soort van onbekende of geheime overeenkomsten, zoals reeds gebeurde land tussen bepaalde grote players-- ISP's en telefoon bedrijven en de like-- en de overheid. Zo grappig story-- de laatste keer dat ik koos badplace.com uit de top van mijn hoofd als een voorbeeld van een schetsmatig website, heb ik eigenlijk niet dierenarts vooraf of dat daadwerkelijk heeft geleid tot een badplace.com. Gelukkig, dit domein de naam is gewoon geparkeerd, en het doet eigenlijk niet leiden tot een badplace.com. Dus we zullen blijven Gebruik dat voor nu. Maar ik heb gehoord dat backfire had kunnen zeer slecht die dag. Dus laten we beginnen te praten nu over bepaalde afweer en wat er gaten misschien zelfs in die. Dus wachtwoorden is een soort van de go-to beantwoorden voor veel afweermechanismen, toch? Gewoon beveiligen met een wachtwoord, dan dat zal de tegenstanders houden. Maar wat betekent dat eigenlijk? Zo herinneren van hacker twee, terug als u aangepakt dat-- wanneer je moest wachtwoorden te kraken in een file-- of zelfs problemen stelde zeven, als we geven je een monster SQL bestand van een aantal gebruikersnamen en wachtwoorden. Dit waren de gebruikersnamen u zag, en deze waren de hashes dat we verspreid voor de hacker editie van het probleem te stellen twee. En als u zich afvraagt ​​dit alles tijd wat de werkelijke wachtwoorden waren, Dit is wat, in feite, ze te decoderen, waarbij je zou hebben gekraakt in PSET twee, of je kon ze spelenderwijs bedacht in probleem stelde zeven. Ieder van hen hebben een aantal hopelijk schattige betekenis hier of in New Haven. Maar de afhaalmaaltijd is dat allemaal, althans hier zijn vrij kort, vrij te raden. Ik bedoel, op basis van de lijst hier, die misschien de makkelijkste te kraken, om erachter te komen door het schrijven software die slechts gissingen en cheques, zou je zeggen? PUBLIEK: Wachtwoord. DAVID MALAN: Wachtwoord's vrij goed, toch? En het is een gewoon--, het een veel voorkomende wachtwoord. In feite, elk jaar is er een lijst van de meest voorkomende wachtwoorden ter wereld. En citaat, unquote "password" is over het algemeen boven op die lijst. Twee, het is in een woordenboek. En je weet van problemen set van vijf dat het niet dat hard-- misschien een weinig tijd consuming-- maar het is niet zo moeilijk om te laden een grote woordenboek in het geheugen en vervolgens gebruiken om soort gok en check alle mogelijke woorden in een woordenboek. Wat anders zou mooi zijn makkelijk te raden en controleren? Ja? Doelgroep: De herhaling van letters. DAVID MALAN: De herhaling van symbolen en letters. Dus soort soort. Dus, in fact-- en we zullen niet in grote go detail hier-- al deze werden gezouten, die je zou kunnen herinneren van probleem stelde zeven's documentatie. Sommige hebben verschillende zouten. Dus je kon eigenlijk voorkomen dat herhalen van bepaalde tekens gewoon door zouten wachtwoorden verschillend. Maar dingen zoals 12.345, dat is een vrij eenvoudig ding om te raden. En eerlijk gezegd, het probleem met al deze wachtwoorden is dat ze allemaal gewoon met 26 mogelijke karakters, of misschien 52 met een aantal hoofdletters, en dan 10 letters. Ik ben niet met behulp van een funky karakters. Ik ben niet met behulp van nullen voor O's of degenen want ik of L's of-- als iemand van u denk dat je dat slim, hoewel, door met een nul voor een O in je wachtwoord of-- OK, ik zag iemand glimlach. Dus iemand heeft een nul voor een O in zijn of haar wachtwoord. U bent niet daadwerkelijk als slim als je zou denken, toch? Want als meer dan één ons doet dit in het kamer-- en ik ben schuldig aan geweest goed-- goed, als iedereen is een soort van dit te doen, wat doet de tegenstander te maken hebben? Nullen en enen voeg en een paar other-- misschien fours voor H's-- om zijn of haar arsenaal en gewoon vervangen die brieven voor de woorden uit het woordenboek. En het is gewoon een extra lus of iets dergelijks. Dus echt, de beste defensie voor wachtwoorden is iets wat veel, veel meer random-schijnbare dan deze. Nu, natuurlijk, bedreigingen tegen wachtwoorden soms ook e-mails als dat. Dus ik letterlijk alleen deze kreeg in mijn inbox vier dagen geleden. Dit is uit Bretagne, die blijkbaar werkt bij harvard.edu. En schreef ze me als een webmail gebruiker. "We hebben gewoon gemerkt dat je e- account is ingelogd op een andere computer op een andere locatie, en je bent te controleren uw persoonlijke identiteit. " Zo thematische in veel e-mails, zoals Dit, die voorbeelden zijn van phishing attacks-- P-H-I-S-H-I-N-G-- waarbij iemand probeert om te vissen en nog wat informatie uit je, in het algemeen door een e-mail als deze. Maar wat zijn sommige van de veelbetekenende tekenen dat dit in feite niet, een legitieme e-mail van Harvard universiteit? Wat is dat? Zo slecht grammatica, de raar kapitalisatie, hoe sommige letters zijn gekapitaliseerd op bepaalde plaatsen. Er is een aantal vreemde inspringen in een paar plaatsen. Wat anders? Wat is dat? Nou, dat zeker helps-- de grote gele doos die zegt dat dit zou kunnen spam zijn Google, dat is zeker nuttig. Dus er is veel tekenen die wijzen hier. Maar de realiteit is deze e-mails moeten werken, toch? Het is vrij goedkoop, zo niet gratis, te sturen honderden of duizenden e-mails. En het is niet alleen door het sturen ze uit je eigen ISP. Eén van de dingen die malware heeft de neiging om doen-- zodat virussen en wormen die per ongeluk infecteren of computers, omdat ze hebben geschreven door adversaries-- één van de dingen die ze doen is gewoon churn uit spam. Dus wat er bestaat in de wereld, in feite, zijn dingen geroepen botnets, dat is een mooie manier om te zeggen dat mensen met een betere codering skills dan de persoon die schreef dat buggy versie van de software, daadwerkelijk geschreven software dat mensen zoals wij nietsvermoedend installeren op onze computers en dan begint te lopen achter de schermen, ons medeweten om. En die malware programma's elkaar verbonden. Ze vormen een netwerk, een botnet als je wil. En in het algemeen, de verfijnde tegenstanders heeft een soort van afstandsbediening via duizenden, zoniet tienduizenden van computers door gewoon verzenden een bericht op internet dat al deze bots zogezegd, in staat zijn om te horen of af en toe verzoek van een aantal centrale site en vervolgens kan worden gecontroleerd voor het verzenden van spam. En deze spam dingen kunnen net verkocht aan de hoogste bieder. Als je een bedrijf bent of een soort van franje bedrijf dat wil niet echt zorgen over de soort ethiek van spammen uw gebruikers maar je wilt raakte een miljoen mensen en hopen dat 1% van de them-- die nog steeds een aantal triviale potentiële buyers-- je kunt eigenlijk betalen deze tegenstanders in de soort zwarte markt van soorten voor het verzenden van deze spams via hun botnets voor u. Dus het volstaat te zeggen, dit is niet een bijzonder boeiende e-mail. Maar zelfs Harvard en Yale en dergelijke vaak fouten maken, in die we weten van een paar weken terug die u kunt maken van een koppeling zeggen www.paypal.com. En het lijkt erop dat het daar gaat. Maar natuurlijk is eigenlijk niet doen. En dus Harvard en Yale en anderen zeker schuldig door de jaren heen bij het verzenden van e-mails dat legitiem zijn, maar ze bevatten hyperlinks daarin. En wij, als mens, zijn opgeleid door een soort van de ambtenaren, heel vaak, eigenlijk alleen maar te volgen links die we in een e-mail te ontvangen. Maar zelfs dat is niet de best practice. Dus als je ooit een e-mail als dit-- en misschien is het van Paypal of Harvard en Yale of Bank of America of de like-- je nog niet klikt de verbinding, ook al lijkt gewettigd. Je moet handmatig zelf uit die URL. En eerlijk gezegd, dat is wat de systeembeheerder moet ons vertellen te doen, zodat we niet misleid in om dit te doen. Nu, hoe velen van u, misschien door te kijken neer op uw stoel, hebben wachtwoorden opgeschreven ergens? Misschien in een lade in de slaapzaal of misschien under-- in een rugzak ergens? Portemonnee? Nee? PUBLIEK: In een brandveilig lockbox? DAVID MALAN: In een brandveilig lockbox? OK. Dus dat is beter dan een notitie op uw monitor. Dus beslist sommige u dringen niet. Maar iets zegt me dat is niet noodzakelijkerwijs het geval. Dus hoe over een eenvoudiger, waarschijnlijker question-- hoe velen van u de hetzelfde wachtwoord voor meerdere sites? Oh ok. Nu zijn we eerlijk. Prima. Dus dat is geweldig nieuws, toch? Want als het betekent als gewoon een van die sites die u al gebruikt in het gedrang komt, nu de tegenstander heeft toegang tot meer gegevens over u of meer potentiële exploits. Dus dat is een gemakkelijk te vermijden. Maar hoeveel van jullie hebben een vrij te raden wachtwoord? Misschien niet zo slecht als dit, maar wat? Voor sommige domme site, toch? Het is niet een hoog risico, niet beschikt over een credit card? Ons allemaal. Zoals, zelfs ik heb wachtwoorden die zijn waarschijnlijk slechts 12.345, zeker. Dus nu proberen in te loggen op elke website u kunt van denken met malan@harvard.edu en 12.345 en zien of dat werkt. Maar we dit doen, ook. Dus waarom? Waarom zo velen van ons hebben of vrij gemakkelijk wachtwoorden of dezelfde wachtwoorden? Wat is de echte wereld Reden voor dit? Het is makkelijker, nietwaar? Als ik zei in plaats daarvan, academisch, jullie moet echt kiezen pseudo wachtwoorden ten minste 16 tekens en hebben een combinatie van alfabetische letters, cijfers en symbolen, die aan de hand is kunnen doen of herinner me die wachtwoorden, laat staan ​​voor elk en elke mogelijke website? Dus wat is een haalbare oplossing? Nou, een van de grootste afhaalrestaurants vandaag, Ook, pragmatisch, zou worden, eerlijk gezegd, om te beginnen met behulp van een soort van password manager. Nu zijn er positieve kanten en nadelen van deze dingen, ook. Dit zijn twee wij hebben de neiging aan te bevelen in CS50. Een heet knop 1Password. Een heet LastPass. En sommigen van jullie misschien al gebruik maken van deze. Maar het is over het algemeen een stukje software dat heeft vergemakkelijkt het genereren van grote pseudo-willekeurige wachtwoorden die u kan onmogelijk herinneren als een mens. Slaat de pseudo- wachtwoorden in een eigen database, hopelijk op uw lokale harde drive-- gecodeerd, nog beter. En alles wat je, de mens, moet onthouden, meestal, is een master-wachtwoord, die Waarschijnlijk gaat super lang. En misschien is het niet willekeurige tekens. Misschien is het, net als, een zin of een korte paragraaf die u kunt onthouden en je kunt een keer per dag te typen om uw computer te ontgrendelen. Dus u een bijzonder grote gebruiken wachtwoord beveiligen en te versleutelen al uw andere wachtwoorden. Maar nu ben je in de gewoonte van het gebruik van software als dit om het genereren van pseudo- wachtwoorden in alle van de websites je bezoekt. En inderdaad, ik kan comfortabel zeggen nu, in 2015, Ik weet niet het grootste deel van mijn wachtwoorden meer. Ik weet dat mijn master-wachtwoord, en ik typ dat, onbewust, één of meer keren per dag. Maar het voordeel is dat nu, indien mijn ene rekeningen in het gedrang komt, er is geen manier iemand gaat die account gebruiken om in een ander omdat geen van mijn wachtwoorden zijn meer hetzelfde. En zeker niemand, zelfs als hij of zij schrijft hoor en wederhoor software om geweld te dingen brute en raden alle mogelijke passwords-- de kans dat ze gaan kies mijn 24-karakter lange wachtwoorden is gewoon zo, zo laag ik ben gewoon niet zorgen over die dreiging meer. Dus wat is hier de trade-off? Dat lijkt me geweldig. Ik ben zo veel meer veilig. Wat is de trade-off? Ja? Publiek: Tijd. DAVID MALAN: Tijd. Het is een stuk makkelijker om Typ 12345 en ik ingelogd ben in versus iets dat 24 tekens lange of een korte paragraaf. Wat anders? Publiek: Als iemand inbreekt uw hoofdwachtwoord. DAVID MALAN: Ja. Dus je bent soort veranderen de dreiging scenario. Als iemand raadt of cijfers out of leest de Post-it note in uw veilige bestandskluis, het hoofdwachtwoord die je hebt, nu alles in het gedrang komt waarbij voorheen was misschien slechts één account. Wat anders? Publiek: Als u wilt een gebruiken van uw rekeningen op een ander apparaat en je hoeft niet LastPass [onverstaanbaar]. DAVID MALAN: Ja, dat is soort van een vangst, ook. Met deze tools, ook, als je hoeft niet uw computer en je bent in, zoals sommige cafe of je bent in het huis van een vriend of een computerlokaal of waar en u wilt in te loggen op Facebook, je weet niet eens wat je Facebook-wachtwoord is. Nu soms kunt u verzachten Dit doordat een oplossing dat we over praten in slechts een moment zogenaamde two-factor authenticatie waarbij Facebook zal je tekst of zal een speciale versleuteld bericht te verzenden naar uw telefoon of een ander apparaat dat u voeren rond op uw sleutelhanger met die u kunt inloggen. Maar dat is misschien vervelend als je bent in de kelder van het science center of elders hier op de campus van New Haven's. Je zou niet signaal. En dat is dus niet per se oplossing. Dus het is echt een trade-off. Maar wat ik wil u aanmoedigen om doen-- als je naar de website van CS50's, we eigenlijk geregeld voor de eerste van deze bedrijven voor een site-licentie, zo te zeggen, voor alle CS50 studenten dus je hoeft niet naar de $ 30 betalen of zo kost normaal. Voor Mac en Windows, kunt u kijken op 1Password gratis op de website van CS50's, en we zullen haak je mee. Realiseer je ook dat sommige van deze tools-- waaronder LastPass in een van de forms-- is cloud-based, zoals Colbert zegt, wat betekent dat uw wachtwoorden encryptedly worden opgeslagen in de cloud. Het idee is dat je kunt gaan een willekeurig persoon of computer vriend en log in op uw Facebook- rekening of iets dergelijks omdat je eerst naar lastpass.com, toegang tot uw wachtwoord, en typ vervolgens in. Maar wat is de dreiging scenario daar? Als u het opslaan van dingen in de cloud, en je bent de toegang tot die website op sommige onbekende computer, wat zou je vriend te doen aan u of uw toetsaanslagen? OK. Ik zal handmatig oprukkende glijdt hier op uit. Keylogger, toch? Een andere vorm van malware is een keylogger, die is gewoon een programma dat eigenlijk registreert alles wat u typt. Dus ook daar is het waarschijnlijk beter om hebben een aantal secundaire apparaat als dit. Dus wat is twee-factor authenticatie? Zoals de naam al doet vermoeden, het is u niet één maar twee factoren waarmee authenticeren naar een website. Dus in plaats van het gebruik alleen een wachtwoord, heb je een andere tweede factor. Nu, die doorgaans één, factor is iets wat je weet. Dus wat voor soort in het oog van uw geest, die is uw wachtwoord dat u hebt opgeslagen. Maar twee, niet iets anders waar je weet of hebt opgeslagen maar iets wat je fysiek te hebben. Het idee is hier dat uw dreiging niet meer enkele willekeurige persoon kan zijn op het internet, die kan gewoon raden of te achterhalen uw wachtwoord. Hij heeft fysieke hebben toegang tot iets dat je hebt, wat nog mogelijk en toch misschien des fysiek bedreigend. Maar het is tenminste een ander soort dreiging. Het is niet een miljoen naamloze mensen die er proberen bij uw gegevens te komen. Nu is het een zeer specifieke personen, misschien, dat als dat is een probleem, dat is ander probleem geheel, ook. Zodat het algemeen bestaat voor telefoons of andere apparaten. En, in feite, Yale rolde dit uit mid-semester dergelijke dat dit geen invloed heeft mensen in deze kamer. Maar die van u volgende samen in New Haven weet dat als je wilt inloggen in uw yale.net ID, in aanvulling op het typen van uw gebruikersnaam en wachtwoord, je dan gevraagd met dit. En bijvoorbeeld, is een screenshot Ik nam vanmorgen toen ik ingelogd in mijn Yale rekening. En stuurt me het equivalent van een tekstbericht naar mijn telefoon. Maar in werkelijkheid, ik een app gedownload op voorhand dat Yale nu verdeelt, en ik moet nu enkel type in de code die ze sturen naar mijn telefoon. Maar om duidelijk te zijn, de bovenkant hiervan is dat nu, zelfs als iemand cijfers uit mijn Yale wachtwoord, ben ik veilig. Dat is niet genoeg. Dat is slechts één sleutel, maar ik moet twee tot mijn rekening te openen. Maar wat is het nadeel, misschien wel, van Yale systeem? En we laten Yale weten. Wat is het nadeel? Wat is dat? Als u geen mobiele service of als u hebben geen Wi-Fi-toegang, omdat je bent alleen in een kelder of iets, je misschien niet in staat zijn om het bericht te krijgen. Gelukkig, in dit specifieke geval, Deze zal gebruik maken van Wi-Fi of iets anders, die werkt omheen. Maar een mogelijk scenario. Wat anders? Je kan de telefoon kwijt. Je gewoon niet hebben. De batterij sterft. Ik bedoel, er is een aantal van vervelende scenario's maar mogelijke scenario dat zou kunnen gebeuren dat je deze beslissing betreuren. En het slechtst mogelijke uitkomst, eerlijk gezegd, dan zou voor gebruikers uitschakelen dit helemaal. Dus er is altijd wel deze spanning is. En je moet voor jezelf als een gebruiker een soort van een 'sweet spot'. En om dit te doen, neem een ​​paar van concrete suggesties. Als je Google Gmail of Google Apps gebruiken, weet dat als je hier naar deze URL, kunt u twee-factor staat authenticatie. Google noemt het 2-step verificatie. En u klikt u op Instellingen, en dan doe je precies dat. Dat is een goede zaak te doen, vooral deze dagen omdat, dankzij cookies, je ingelogd bent bijna de hele dag lang. Zodat je zelden moet typ uw wachtwoord toch. Dus je misschien een keer per doen week, eenmaal per maand, eenmaal per dag, en het is minder groot behandelen dan in het verleden. Facebook Ook heeft dit. Als je een beetje te los met het typen uw Facebook-wachtwoord in vrienden ' computers, tenminste inschakelen tweeledige authenticatie zodat die vriend, zelfs als hij of zij een toetsaanslag logger, ze niet kunnen krijgen in je account. Nou, waarom is dat? Konden ze niet gewoon inloggen de code die ik heb getypt in op mijn telefoon dat Facebook tot mij gezonden heeft? PUBLIEK: [onverstaanbaar]. DAVID MALAN: Ja. De goed ontworpen software zullen deze codes wijzigen die naar uw telefoon worden gestuurd elke paar seconden of telkens en zo dat, ja, zelfs als hij of zij cijfers uit wat uw code is, je bent nog steeds veilig, want het zal zijn verlopen. En dit is wat het lijkt graag op de website van Facebook. Maar er is een andere benadering helemaal. Dus als dat soort afwegingen zijn niet bijzonder aantrekkelijk, een algemeen beginsel in de beveiliging zou zijn, nou ja, gewoon op zijn minst controle dingen. Niet soort leg je hoofd in de zand en weet maar nooit of en wanneer je hebt aangetast of aangevallen. Tenminste zetten een mechanisme die informeert u direct als er iets abnormaal is gebeurd zodat je tenminste smalle het venster van de tijd tijdens die iemand kan schade aanrichten. En dit bedoel ik de following-- Facebook, bijvoorbeeld, kunt u zich wenden over wat ze noemen login waarschuwingen. En nu, ik heb ingeschakeld e- inloggen waarschuwingen, maar geen meldingen. En wat dat betekent is dat als Facebook mededelingen Ik heb aangemeld bij een nieuwe computer-- alsof ik niet een koekje, het is een ander IP-adres, het is een ander type computer-- zij zullen in dit scenario sturen me een email te zeggen, he, David. Lijkt alsof je ingelogd vanuit een onbekende computer, net FYI. En nu mijn rekening zou kunnen zijn gecompromitteerd of mijn vervelende vriend zou kunnen geweest zijn in te loggen op mijn rekening nu posten dingen op mijn nieuws-feed of iets dergelijks. Maar ten minste de hoeveelheid tijd waar ik ben onwetend van die is super, super smal. En ik kan hopelijk reageren. Dus alle drie van deze, zou ik laten we zeggen, zijn zeer goede dingen te doen. Wat zijn sommige bedreigingen die zijn een beetje harder ons eindgebruikers te beschermen tegen? Weet iemand wat sessie kaping is? Het is een meer technische bedreiging, maar zeer vertrouwd nu dat we hebben gedaan PSET zes en zeven en nu acht. Zo herinneren dat wanneer je het verkeer te sturen via internet, een paar dingen gebeuren. Laat me gaan en loggen in c9 of CS50.io. Geef mij maar een moment om log in mijn jHarvard rekening. Publiek: Wat is uw wachtwoord. DAVID MALAN: 12.345. Prima. En hier, weet dat als ik ga vooruit en vraag een web page-- en in de tussentijd, laat mij dit te doen. Laat me openstellen Chrome Inspector tab en mijn netwerk verkeer. En laat me gaan http://facebook.com en verwijder dit. Eigenlijk, weet je wat? Laten we naar een meer vertrouwde een-- https://finance.cs50.net en klik op Enter en log het netwerkverkeer hier. Zo merken hier, als ik kijk in mijn netwerk verkeer, reactie headers-- laten we hier te gaan. Respons headers-- hier. Dus de eerste vraag die ik gezonden, dat was voor de standaard pagina hij antwoordde met Deze reactie headers. En we hebben gesproken over dingen zoals locatie. Zoals, locatie betekent omleiden naar login.php. Maar één ding hebben we niet spreken van een enorme bedrag over was lijnen zoals dit. Dus dit is de binnenkant van de virtuele envelop dat is verstuurd vanuit CS50 Finance-- de versie die jullie schreef, too-- laptop van een gebruiker of desktop computer. En dit is het instellen van een cookie. Maar wat is een cookie? Denk terug aan onze bespreking van PHP. Ja? Ja, het is een manier van het vertellen van de website die je nog steeds ingelogd. Maar hoe werkt dat? Nou, na een bezoek aan finance.cs50.net, het lijkt erop dat de server dat wij geïmplementeerd is het instellen van een cookie. En dat cookie is conventioneel roepen PHPSESSID sessie-ID. En kunt u denken aan het als een virtueel handstamp bij een club of, zoals, een pretpark, een klein stukje van rode inkt die gaat op uw hand zodat de volgende keer dat u een bezoek aan de poort, je gewoon laten zien je hand, en de uitsmijter bij de deur zal je laten doorgeven of helemaal niet op basis van die stempel. Dus de volgende verzoeken dat mijn browser sends-- als ik naar de volgende aanvraag en je kijkt naar het verzoek headers, je zult meer dingen opmerken. Maar het belangrijkste is dit gemarkeerde gedeelte hier-- niet ingesteld cookies maar cookie. En als ik het bladeren door een ieder van die latere HTTP-verzoeken, elke keer als ik zou een hand te zien wordt uitgebreid met die exact dezelfde PHPSESSID, dat wil zeggen Dit is het mechanism-- deze grote pseudo number-- dat een server gebruikt om de illusie te behouden van PHP $ _SESSION voorwerp, waarin U kunt dingen zoals ID van de gebruiker op te slaan of wat er in hun winkelwagentje of willekeurig aantal overige gegevens. Dus wat is de implicatie? Nou, wat als dat data is niet versleuteld? En inderdaad wij voor beste praktijk versleutelen vrij veel ieder van CS50 de websites van deze dagen. Maar het is zeer vaak deze dagen voor websites nog steeds HTTPS niet ten het begin van de URL. Ze zijn gewoon HTTP, colon, slash slash. Dus wat is de implicatie is er? Dat betekent simpelweg dat al deze headers zijn binnenin die virtuele envelop. En wie snuift de lucht of fysiek onderschept die fysiek packet binnen kan kijken en zien wat dat cookie is. En zo sessie kaping eenvoudigweg een techniek dat een tegenstander gebruikt om gegevens te snuiven in de lucht of op een bekabeld netwerk, kijk binnenkant van deze envelop, en zie, oh. Ik zie dat uw cookie is 2kleu wat dan ook. Laat me ga je gang en maak een kopie van uw hand stempel en nu beginnen met een bezoek aan Facebook of Gmail of wat dan ook mezelf en gewoon presenteren exact dezelfde handstamp. En de realiteit is, browsers en servers zijn echt dat naïef. Als de server ziet diezelfde koekje, zijn doel in het leven zou moeten zijn om te zeggen, oh, David die moeten worden, die net ingelogd een beetje geleden. Laat me dit dezelfde gebruiker te laten zien, vermoedelijk, Davids inbox of Facebook berichten of iets anders waarin je ingelogd bent. En de enige verdediging tegen dat wil gewoon versleutelen alles binnen de omhulling. En gelukkig, een heleboel sites graag Facebook en Google en dergelijke doen dat tegenwoordig. Maar iemand die je niet vertrekken perfect, perfect kwetsbaar. En een van de dingen die je kunt doen-- en één van de leuke features, eerlijk gezegd, van 1Password, de software Ik al eerder zei, is als je het installeert op uw Mac of PC, de software, Naast het opslaan van je wachtwoorden, zal ook waarschuw je als je ooit proberen inloggen op een website die is naar uw gebruikersnaam versturen en wachtwoord onversleuteld en in de heldere zogezegd. Prima. Dus sessie kaping komt erop neer dat. Maar er is dit andere dat HTTP-headers kan worden gebruikt om te profiteren van ons. En dit is nog een beetje een probleem. Dit is eigenlijk gewoon een schattig excuus om hier te zetten Cookie Monster. Maar Verizon en AT & T en anderen namen een heleboel flak een paar maanden terug voor het injecteren, buiten het medeweten van gebruikers in eerste instantie, een extra HTTP-header. Dus degenen onder u die hebben gehad Verizon Wireless en AT & T-cel telefoons, en je hebt al een bezoek websites via de telefoon, buiten het medeweten van u, na uw HTTP verzoeken vertrekken Chrome of Safari of wat dan ook op je telefoon, ga Verizon en AT & T's router, zij aanmatigend enige tijd geweest injecteren van een header die eruit ziet als dit-- een sleutel-waarde paar, waar de sleutel is gewoon X-UIDH voor unieke identificatie header en vervolgens een aantal grote willekeurige waarde. En dat doen ze dus dat ze kunnen een unieke identificeren van al uw web-verkeer naar mensen ontvangen van uw HTTP request. Nu, waarom zou Verizon en AT & T en dergelijke wilt u uniek te identificeren aan alle websites die u bezoekt? PUBLIEK: Betere klantenservice. DAVID MALAN: Better-- nee. Het is een goede gedachte, maar het is niet voor een betere klantenservice. Wat anders? Reclame, toch? Zodat ze kunnen opbouwen van een advertentienetwerk, vermoedelijk, waarbij zelfs als u hebben off cookies ingeschakeld, zelfs als u speciaal hebt software op je telefoon dat houdt je in incognito mode-- ha. Er is geen incognito-modus als de man in de middle-- letterlijk, Verizon of AT & T-- is injecteren aanvullende gegevens waarover je hebt geen controle, waardoor onthullen wie je bent die voortvloeit website opnieuw en opnieuw. Dus er zijn manieren om te kiezen uit deze. Maar ook hier is iets dat eerlijk gezegd, de enige manier terugduwen deze te verlaten de vervoerder helemaal, uitschakelen als ze zelfs kunt u, of, zoals in dit geval, maakt nogal wat gedoe online dergelijke dat de bedrijven daadwerkelijk te reageren. Ook dit is gewoon een andere adorable gelegenheid om dit te laten zien. En laten we een kijkje nemen op, laten we zeggen, één of twee laatste bedreigingen. Dus spraken we over CS50 Finance hier. Dus je zult merken dat we dit schattige icoontje hier de login-knop. Wat betekent het als ik in plaats daarvan gebruik dit icoon? Dus voordat na. Voor na. Wat betekent na betekenen? Het is veilig. Dat is wat ik zou willen dat je denkt. Maar ironisch genoeg, het is veilig want we hebben HTTPS. Maar dat is hoe gemakkelijk het is om te veranderen iets op een website, toch? U weet allemaal een beetje van HTML en CSS nu. En in feite, het is vrij gemakkelijke to-- en als je deed het-- niet doen om het pictogram te wijzigen. Maar ook dit is wat bedrijven hebben ons geleerd om te doen. Dus hier is een screenshot van de Bank van de website van America's vanmorgen. En merk, één, ze zijn geruststellend mij is dat het is een beveiligd teken linksboven. En ze hebben ook een hangslot op de knop, die wat betekent voor mij, voor de eindgebruiker? Echt niets, toch? Wat er wel toe doet is het feit dat er de grote groene URL up top met HTTPS. Maar als we inzoomen op deze, is slechts zoals ik, weten een beetje van HTML en een beetje van CSS, en zeggen: hey, mijn website is veilig. Zoals, kan iedereen een hangslot te zetten en de word veilig sign-on op hun website. En het is echt betekent niets. Wat betekent iets is zoiets als dit, waar je niet ziet https: // het feit dat Bank of America heeft deze grote groene balk, terwijl CS50 niet, betekent gewoon dat ze betaalden een paar honderd dollars meer extra te hebben verificatie gedaan van hun domeinnaam in de VS, zodat browsers die houden deze norm zal ook tonen ons een beetje meer dan dat. Dus zullen we de dingen bij laten, schrikken je een beetje meer voor lang. Maar op woensdag, we zullen worden vergezeld door Scaz van Yale voor een blik op kunstmatige intelligentie en wat we kunnen doen met deze machines. Wij zullen u de volgende keer.