[Música tocando] 

DAVID MALAN: Este é CS50, e este é o início da semana 10. E você pode se lembrar essa imagem de algumas semanas atrás quando falamos sobre a internet e como na verdade é implementado fisicamente. E você deve se lembrar que não há na verdade, um monte de cabos bem como sem fios tecnologias que interconectam todos os nós ou roteadores e outros tais tecnologias na internet. E um monte de que é underseas. 

Bem, acontece que os cabos Underseas são um pouco de um alvo. E palestra de hoje é inteiramente com a segurança, não só as ameaças que todos enfrentamos fisicamente, mas também virtualmente, e também, para a extremidade de cauda Hoje em dia, algumas das defesas que nós, como os usuários podem realmente colocar no lugar. 

Mas, em primeiro lugar, um dos primeiro e threat-- talvez mais físico [REPRODUÇÃO DE VÍDEO] -Pode Ser Rússia planejamento um ataque a cabos submarinos que se conectam à Internet global? 

Navios e submarinos -Russo à espreita perto de cabos submarinos que carregam quase tudo de internet do mundo. 

-A Internet é toda transportados ao longo destes cabos. 

-Primeiro De tudo, o que é o internet fazendo debaixo d'água? Última vez que verifiquei, eu não sou supostamente para obter o meu computador molhado. Segundo, se você me perguntar como a internet viaja de continente para continente, Eu teria dito satélites ou lasers, ou, sinceramente, Eu provavelmente teria apenas disse que a internet. 

E o que aconteceu com a nuvem? Foi-me dito que havia uma nuvem. Lembre-se? Ei, vamos colocar isso na nuvem. Era como se a internet era um vapor de informações que circunda a Terra, e seu computador era como uma concha que escavou para fora o que você precisava. 

Mas acontece que a internet é realmente subaquática porque estes cabos transportar mais de 95% das comunicações diárias de internet. E preocupações de inteligência dos EUA que em momentos de tensão ou conflito, Rússia pode recorrer a cortar-los. Seria a maior perturbação ao seu serviço de internet desde que seu vizinho de cima colocar uma senha em seu Wi-Fi. ok? Experimente o nome de seu cão. [FIM DE REPRODUÇÃO] DAVID MALAN: Antes de nos voltarmos agora algumas das ameaças mais virtuais, um par de anúncios. Assim, nossos amigos um Atualmente CrimsonEMS recrutamento de novos paramédicos, Técnicos de emergência médica. E isso é realmente algo particularmente perto do meu coração. 

Há muito tempo atrás, eu lembre-se estar em um Ikea logo após a formatura, na verdade. E como eu estava saindo da loja, este garotinho que estava em um carrinho de criança começou a virar literalmente azul. E ele estava engasgada com algum pedaço de alimentos que teve presumivelmente ficado preso na garganta. 

E sua mãe estava em pânico. Os pais em torno deles estavam em pânico. E mesmo eu, que tinha um pouco de familiaridade com EMS apenas por meio de amigos, completamente congelou. E foi só graças a algo como um salva-vidas de 15 anos de idade, que correu e realmente sabia o que fazem instintivamente e pediu ajuda e realmente puxou o menino fora de seu carrinho de criança e, na verdade, abordou a situação. 

E para mim, isso foi um ponto de viragem. E foi naquele momento em tempo em que eu decidi, caramba, Eu preciso ter meu ato juntos e realmente sabe como responder a estes tipos de situações. E então eu me fui licenciado anos atrás, como um EMT. E através da escola de pós-graduação eu montar em ambulância do MIT durante um certo período de tempo, bem como têm mantido desde a minha licença. 

E, na verdade, até hoje, todos do pessoal CS50 aqui em Cambridge são, na verdade, certificada em CPR, assim, por razões semelhantes. Então, se você estiver em todos os interessado neste, há Nunca vai ser tempo suficiente em o dia de assumir algo novo. Mas se você quiser um Ano Novo resolução, não juntar esses caras aqui ou considerar alcançando o Cruz Vermelha para a certificação, seja aqui ou em New Haven, também. 

Assim último almoço do CS50 é nesta sexta-feira. Então, se você ainda não se juntou a nós, ou se você tem e você quer mais uma vez, não ir no site da CS50 para preencha o formulário lá. Saiba, também, que os nossos amigos em Yale, Professor Scassellati, tem vindo a produzir uma AI, artificial inteligência, série para nós que vai começar a estrear esta semana em vídeo. Então, especialmente se você está interessado na prossecução de um projeto final de alguma forma relacionado à inteligência artificial, processamento de linguagem natural, mesmo robótica, percebemos que estes vontade ser uma inspiração maravilhosa para isso. 

E só para lhe dar um teaser a isso, aqui é o próprio SCAZ. 

[REPRODUÇÃO DE VÍDEO] 

-Um Do realmente grande coisas sobre ciência da computação é que, mesmo com única algumas semanas de estudo, você vai ser capaz de entender muitos dos artefatos inteligentes e dispositivos que povoam nosso mundo moderno. Neste curto vídeo série, vamos olhar em coisas como Netflix é capaz sugerir e recomendar filmes que eu gostaria, como é que Siri pode responder a perguntas que eu tenho, como é que o Facebook pode reconhecer meu rosto e identifique automaticamente me em uma fotografia, ou como o Google é capaz de construir um carro que conduz por si própria. 

Então, eu espero que você se junte a mim para esta curta série de vídeos, a série CS50 AI. Eu acho que você vai achar que você sabe muito mais do que você pensou que você fez. [FIM DE REPRODUÇÃO] DAVID MALAN: Então, essas aparece na o site do curso no final desta semana. Fique atento. E nesse meio tempo, alguns anúncios, como o que vem pela frente. Por isso estamos aqui. Isto é, em nossa palestra sobre segurança. Esta próxima quarta-feira, SCAZ e Andy, nossa cabeça ensino companheiro em New Haven, estará aqui para olhar inteligência artificial se para uma olhada computação para communication-- como construir sistemas que usam linguagem para comunicar a partir de ELIZA, se você estiver familiarizado com este software de outros tempos, a Siri mais recentemente e Watson, que você pode saber a partir de Jeopardy ou similares. 

Então próxima segunda-feira, nós somos não aqui em Cambridge. Estamos em New Haven por um segundo olhar para a inteligência artificial com SCAZ e company-- AI adversários nos jogos. Então, se você já jogou contra o computador em algum jogo de vídeo ou jogo para celular ou similar, nós vamos falar sobre exatamente como isso-- para construir adversários para jogos, como representar coisas debaixo das árvores capa usando de jogos como tic-tac-toe ao xadrez ao moderno real jogos de vídeo, bem. 

Infelizmente, quiz é um pouco depois. Mais detalhes sobre isso no CS50 de site ainda esta semana. E a nossa última palestra em Yale vai ser que sexta-feira após o quiz. E a nossa última palestra em Harvard será, posteriormente, na Segunda-feira, pela natureza de agendamento. 

E assim, em termos de marcos, além pset oito esta semana; relatório de status, que será um verificação de sanidade rápida entre você e seu companheiro de ensino; o hackathon, que estará aqui em Cambridge para estudantes a partir de New Haven e Cambridge iguais. Nós cuidamos de tudo transporte a partir de New Haven. A implementação do projeto final será devido. E, em seguida, para ambos os campi haverá uma feira CS50 que nos permite tomar uma olhada e prazer em que toda a gente tem conseguido. 

Na verdade, eu pensei que este seria um bom momento para chamar a atenção para este dispositivo aqui, que temos utilizado para uma certa quantidade de tempo aqui, que é uma tela de toque agradável. E, na verdade, passado ano tivemos um app $ 0,99 que fizemos o download do aplicativo do Windows armazenar, a fim de desenhar na tela. 

Mas, francamente, era muito confuso. Isso nos permitiu desenhar no tela, mas havia, como, um monte de ícones aqui em cima. A interface do usuário foi muito ruim. Se você queria mudar determinadas configurações, havia apenas tantos cliques malditos. E o utilizador interface-- ou, mais propriamente, o experiência-- usuário foi muito abaixo do ideal, especialmente usando-o em um ambiente de aula. 

E assim chegamos para fora a um amigo nosso na Microsoft, Bjorn, que é, na verdade, vindo a seguir, juntamente com CS50 online. E, como seu projeto final, essencialmente, fez e muito graciosamente tomar alguma entrada de nós como a exatamente as características e experiência do usuário nós queremos. E ele então foi sobre a construção de para Windows deste aplicativo aqui que nos permite draw-- oops-- e soletrar em as-- wow. Obrigado. Para desenhar e soletrar nesta tela aqui com interface de usuário muito mínima. 

Então você me viu, talvez, toque-se aqui sempre assim ligeiramente, onde agora nós pode sublinhar as coisas em vermelho. Podemos alternar e agora ir para o texto branco aqui. Se queremos realmente excluir a tela, nós podemos fazer isso. E se nós realmente preferem um canvas brancos, nós podemos fazer isso. Então ele faz tão terrivelmente pouco por design e faz bem. Assim que eu futz, esperançosamente, muito menos este ano em sala de aula. 

E, graças, também, para um protegido de sua Eu estou usando hoje um pequeno anel. Esta é Benjamin, que era internando com Bjorn neste verão. Portanto, é um pequeno anel. É um pouco maior do que o meu anel de costume. Mas através de um pouco de marcação o lado aqui posso realmente mover os slides para a esquerda e direita, para frente e para trás, e realmente avançar as coisas sem fio de modo que, um, eu não tenho para manter-se ir de volta para a barra de espaço Aqui. E dois, eu não tenho que ter um daqueles estúpidos clickers e preocupam a minha mão, segurando a maldita coisa o tempo todo a fim de simplesmente clicar. E, certamente, com o tempo, será o hardware assim obter super, super menor. 

Então, certamente, não hesite para pensar fora da caixa e fazer as coisas e criar coisas que nem sequer existem ainda para projetos finais. Sem mais delongas, um olhar para o que o espera como você mergulhar em seu último projetos no hackathon CS50 

[REPRODUÇÃO DE VÍDEO] 

[Música tocando] 

[RONCO] [FIM DE REPRODUÇÃO] DAVID MALAN: Tudo bem. Então, o clipe de Stephen Colbert que eu mostrou apenas um momento atrás foi realmente na TV apenas alguns dias atrás. E, de fato, um par de outros clips vamos mostrar hoje são incrivelmente recente. E, de fato, que fala com a realidade que muito da tecnologia e, francamente, um monte de idéias nós temos falado sobre em CS50 realmente são onipresentes. E um dos objetivos da o curso é certamente equipá-lo com habilidades técnicas assim que você pode realmente resolver problemas programaticamente, mas dois, de modo que você pode realmente tomar melhores decisões e tomar decisões mais informadas. E, na verdade, toda a temática imprensa e vídeos e artigos on-line nos dias de hoje é apenas uma assustadora mal-entendido ou falta de compreensão de como a tecnologia funciona, especialmente entre os políticos. 

E assim, de fato, em apenas um pouco nós vamos dar uma olhada em um desses detalhes, também. Mas literalmente apenas durar noite eu estava sentado em Bertucci, um local, franchise lugar italiano. E eu pulei em sua Wi-Fi. E eu estava muito tranquilizado para ver que é seguro. E eu sabia que porque ele diz aqui "Secure Portal Internet" quando a tela veio à tona. Portanto, este foi o pequeno aviso que surge no Mac OS ou no Windows quando você se conectar a uma rede Wi-Fi pela primeira vez. E eu tive que ler através de seus termos e condições e, finalmente, clique em OK. E então eu estava autorizado a prosseguir. 

Então, vamos começar a repensar o que todos isto significa e não tomar por concedido o que as pessoas dizem-nos quando nós encontrá-lo com várias tecnologias. Então, um, o que significa que este é um portal de internet segura? O que poderia Bertucci tranquilizando-me de ser? AUDIÊNCIA: Os pacotes enviados e para trás são criptografados. DAVID MALAN: Good. Os pacotes que estão sendo enviados de volta e para trás são criptografados. É que de fato o caso? Se fosse esse o caso, o que eu faria tem que fazer ou o que eu tenho que saber? Bem, você veria um pouco ícone de cadeado no Mac OS ou no Windows dizendo que há de fato algum criptografia ou lutando acontecendo. Mas antes que você pode usar um criptografado portal ou Wi-Fi, o que você tem que geralmente digitar? Uma senha. Eu sei que existe essa senha, nem eu digite qualquer senha. Eu simplesmente clicar em OK. Portanto, este é totalmente sem sentido. Este não é um portal de internet segura. Este é um portal de internet insegura 100%. Não há absolutamente nenhuma criptografia vai , e tudo o que está fazendo-o seguro é que a frase de três palavras na tela lá. 

Então, isso não significa nada, necessariamente, tecnologicamente. E um pouco mais preocupante, se você realmente leia os termos e condições, que são surpreendentemente legível, foi isto-- "você entender que nós nos reservamos o direito de registrar ou monitorar o tráfego para garantir que esses termos estão sendo seguidos. " Então, isso é um pouco assustador, se Bertucci é ver o meu tráfego de internet. Mas a maior parte de qualquer acordo que você cegamente clicado através tem certamente disse que antes. 

Então, o que faz que, na verdade, significa tecnologicamente? Portanto, se há algum assustador cara ou mulher na parte de trás que é, tipo, o monitoramento todo o tráfego de internet, como é que ele ou ela acessando que a informação exactamente? Quais são as tecnológica significa que através que person-- ou Adversário, mais generally-- pode estar a olhar para o nosso tráfego? 

Bem, se não há nenhuma criptografia, o que os tipos de coisas que eles poderiam cheirar, por assim dizer, uma espécie de detectar no ar. O que você olhar? Sim? 

AUDIÊNCIA: Os pacotes enviados do seu computador para o roteador? 

DAVID MALAN: Yeah. Os pacotes enviados a partir de o computador para o roteador. Então você pode se lembrar quando estávamos em New Haven, nós passamos esses envelopes, fisicamente, todo o público para representar indo dados através da Internet. E, certamente, se estivéssemos jogando -los através da platéia sem fio para chegar ao seu destino, qualquer um pode tipo de agarrá-lo e fazer uma cópia do mesmo e realmente ver o que está dentro desse envelope. 

E, claro, o que é dentro desses envelopes é qualquer número de coisas, incluindo o endereço IP que você está tentando acesso ou o nome do host, como www.harvard.edu ou yale.edu que você está tentando para acessar ou algo completamente diferente. Além disso, o caminho, você sabe de demasiado-- pset seis que dentro de solicitações HTTP são obter barra something.html. Então, se você está visitando uma página específica, download de uma imagem ou vídeo específico, toda essa informação que está dentro do maço. E assim ninguém lá em lata de Bertucci estar olhando para esse mesmo dados. Bem, o que são alguns outros ameaças ao longo destas linhas estar atento antes de você basta começar a aceitar como verdade o que alguém como Bertucci simplesmente lhe diz? Bem, este foi um article-- uma série de artigos que saiu apenas alguns meses atrás. Toda a raiva estes dias são essas TVs inteligentes ultramoderna. O que é uma TV inteligente, se você tiver ouviu falar deles ou ter um em casa? AUDIÊNCIA: conectividade com a Internet? DAVID MALAN: Sim, conectividade com a Internet. Assim, em geral, uma TV inteligente é um TV com ligação à internet e um usuário realmente cagado interface que faz mais difícil de realmente usar a web porque você tem que usar, como, até, baixo, esquerda e direita ou algo no seu controle remoto apenas para acessar as coisas que são tanto mais facilmente feito em um laptop. 

Mas o mais preocupante em relação a uma TV inteligente, e TVs Samsung, neste caso particular, foi que a Samsung TVs e outros nos dias de hoje vêm com determinado hardware para criar o que eles dizem é uma melhor interface de usuário para você. Então um, você pode conversar com algumas de suas TVs nos dias de hoje, não ao contrário de Siri ou qualquer um dos outros equivalentes em telefones móveis. Então você pode dizer comandos, como canal de mudança, aumentar o volume, desligar, ou semelhante. Mas qual é a implicação de que logicamente? Se você tem a TV em sua vida quarto ou a TV no pé da sua cama para adormecer, qual é a implicação? Sim? 

AUDIÊNCIA: Pode haver algo indo através do mecanismo para detectar o seu discurso. DAVID MALAN: Yeah. AUDIÊNCIA: Isso poderia ser enviados via internet. Se é criptografado, então é vulnerável. DAVID MALAN: De fato. Se você tiver um microfone embutido em uma TV e seu propósito na vida é, pelo projeto, para ouvir para você e responder a você, ele é sem dúvida vai ser ouvindo tudo que você diz e, em seguida, que a tradução algumas instruções incorporados. Mas o problema é que a maioria destes Televisões não são perfeitamente inteligente si. Eles são muito dependentes essa conexão internet. 

Tão parecido com Siri, quando você fala em seu telefone, rapidamente envia que os dados entre a internet para servidores da Apple, em seguida, recebe de volta uma resposta, literalmente é a Samsung TV e equivalentes apenas enviar tudo o que você está dizendo em sua sala de estar ou quarto para seus servidores apenas para detectar que ele disse, ligar a TV ou desligar a TV? E Deus sabe o que mais poderia ser pronunciada. Agora, há algumas maneiras para mitigar isso, certo? Como o que faz eo que Siri faz o Google e outros fazem para, pelo menos, defender-se contra que o risco de que eles são ouvir absolutamente tudo? Tem que ser activada dizendo algo como, hey, Siri, ou oi Google ou semelhantes ou OK, o Google ou algo semelhante. 

Mas todos nós sabemos que aqueles expressões tipo de chupar, certo? Como eu era apenas sitting-- na verdade, a última vez Eu estava em horário de expediente em Yale, eu acho, Jason ou um dos TFs ficava gritando, como, hey, Siri, hey, Siri e estava fazendo o meu telefone fazer as coisas porque ele estava muito proximal ao meu celular. Mas o inverso é verdadeiro também. Às vezes as coisas apenas chutar sobre porque é imperfeito. E, de fato, natural processing-- língua compreender fraseado de um ser humano e em seguida, fazer algo baseado em ele-- é certamente imperfeita. 

Agora, pior ainda, alguns de vocês podem ter visto ou ter uma TV onde você pode fazer coisas estúpidas ou new age como este para mudar de canal ou à esquerda este para mudar de canal para a direita ou diminuir o volume ou aumentar o volume. Mas o que isso significa que a TV tem? A câmera apontada para você em todos os momentos possíveis. 

E, de fato, o bafafá em torno Samsung TVs para que eles levaram alguns flack é que se você ler os termos e condições do TV-- a coisa você certamente nunca leu quando descompactar sua TV pela primeira tempo-- embutido lá estava um pouco disclaimer dizendo o equivalente a, um que você pode não querer ter pessoal conversas em frente deste TV. E isso é o que reduz a. 

Mas você não deve mesmo precisa ser dito isso. Você deve ser capaz de inferir a partir da realidade que microfone e câmera literalmente apontando para mim o tempo todo talvez seja mais mal do que bem. E, francamente, eu digo isto um pouco hipócrita. Eu tenho literalmente, além daquelas câmeras, Eu tenho um pequeno câmera aqui no meu laptop. Eu tenho outro aqui. Eu tenho a minha em Telemóvel No ambos os lados. Então, para que eu não colocá-lo para baixo o caminho errado, eles ainda pode me ver e me ouvir. 

E tudo isso poderia ser acontecendo o tempo todo. Então, o que está impedindo o meu iPhone ou Android telefone de fazer isso o tempo todo? Como sabemos que a Apple e alguma pessoa assustador do Google, não estão escutando a esta conversa muito através do telefone ou conversas Eu tenho em casa ou no trabalho? 

AUDIÊNCIA: Porque nossas vidas não são assim tão interessante. 

DAVID MALAN: Porque o nosso vidas não são tão interessante. Isto, na verdade, é uma resposta válida. Se não estamos preocupados sobre uma ameaça particular, há uma espécie de quem cuida aspecto a ele. Pouco me antigo não vai para realmente ser um alvo. Mas eles certamente poderia. 

E por isso mesmo que você veja alguns coisas bregas em TVs e filmes, como, oh, vamos ativar a grade e- como Batman faz muito isso, na verdade, e, na verdade, pode ver Gotham, o que é acontecendo por meio de telefones celulares das pessoas ou semelhantes. Alguns de que é um pouco futurista, mas estamos muito bonito lá estes dias. 

Quase todos nós somos andando por aí com GPS transponders que é dizendo Apple e Google e toda a gente que quer saber onde estamos no mundo. Temos um microfone. Nós temos uma câmera. Estamos dizendo coisas como snapchat e outros aplicativos que todos nós sabemos, todos os seus números de telefone, todos os seus endereços de email. E então, novamente, um dos takeaways hoje, esperançosamente, é, pelo menos, pausa um pouco antes cegamente dizer, OK quando você quer o conveniência de snapchat sabendo que todos os seus amigos é. Mas por outro lado, agora snapchat conhece todos que você conhece e quaisquer pequenas notas que você pode fez em seus contatos. 

Portanto, este foi um momento oportuno, também. Há alguns meses, snapchat em si não foi comprometida. Mas houve alguma aplicativos de terceiros que tornou mais fácil para salvar E se encaixe a captura foi que esse serviço de terceiros foi comprometida si, em parte porque o serviço de snapchat suportado um recurso que eles provavelmente não deve ter, o que permitiu este arquivamento por um terceiro. 

E o problema é que um arquivo de, como, 90.000 snaps, penso eu, foram finalmente comprometida. E assim você pode levar algum conforto em coisas como snapchat sendo efêmera, certo? Você tem sete segundos para olhar essa mensagem inadequada ou nota, e, em seguida, ele desaparece. Mas, a maioria de vocês provavelmente já descobri como tirar screenshots por agora, o que é a maneira mais fácil de contornar isso. Mas dois, não há nada que impeça a empresa ou a pessoa está na internet que interceptem dados, potencialmente, como bem. 

Portanto, este foi literalmente apenas um ou dois dias atrás. Este foi um belo artigo sobre um headline site on-line. "Worm épico Fail-- Poder Ransomware destrói acidentalmente Dados da vítima durante a criptografia ". Assim, uma outra arrancada do manchetes tipo de coisa aqui. Então você pode ter ouviu falar de malware, que é tão ruim software malicioso software-- que as pessoas com muito tempo livre Escreva. E, às vezes, ele só faz coisas estúpidas como apagar arquivos ou enviar spam ou similares. 

Mas, às vezes, e cada vez mais, é mais sofisticado, certo? Vocês todos sabem como mexer com criptografia. E César e Vigenere não são super segura, mas há outros que, certamente, que são mais sofisticados. E então o que esse adversário fez foi escreveu um pedaço de malware que de alguma forma infectou um bando de computadores das pessoas. Mas ele era uma espécie de um idiota e escreveu uma versão de buggy deste malware tal que, quando ele ou ela implementou o code-- oh, nós somos recebendo um monte de-- desculpe. Estamos recebendo uma grande quantidade de bate no microfone. ESTÁ BEM. 

Então, o que o problema era que ele ou ela escreveu algum código ruim. E assim eles gerados pseudorandomly uma chave de criptografia com a qual deve encriptar dados de alguém maliciosamente, e, em seguida, atirou acidentalmente fora a chave de criptografia. Assim, o efeito da presente malware não foi como o esperado, aos dados de resgate de alguém por criptografar seu disco rígido e, em seguida, esperando US $ 800 em troca para a chave de criptografia, que no ponto a vítima poderia decifrar seus dados. Pelo contrário, o cara mau simplesmente criptografado todos os dados no seu disco rígido, acidentalmente excluída a chave de criptografia, e não tem dinheiro fora dele. Mas isso também significa que a vítima é verdadeiramente uma vítima, porque agora ele ou ela Não é possível recuperar qualquer um dos dados, a menos eles realmente têm alguns old-school backup dele. 

Então, aqui também é uma espécie de realidade que você vai ler sobre esses dias. E como você pode defender contra isso? Bem, esta é uma lata inteira de vermes, sem trocadilhos, sobre vírus e worms e afins. E há certamente software com o qual você pode se defender. Mas melhor do que a que é apenas para ser esperto sobre isso. 

Na verdade, eu haven't-- este é um dos estes façam o que eu digo, não como eu faço as coisas, perhaps-- Eu realmente não tenho usado software antivírus em anos porque se você geralmente sabe o que procurar, você pode se defender contra mais tudo em seu próprio país. E, na verdade, oportuna aqui no Harvard-- havia um bug ou um problema na semana passada, onde Harvard é claramente, como, monitoramento lotes de tráfego de rede. E todos vocês mesmo visitando o site do CS50 poderia ter obtido um provérbio alerta que você não pode visitar este site. Não é seguro. Mas se você tentou visitar Google ou outros sites, também, aqueles também eram inseguros. 

Isso porque Harvard, também, tem algum tipo de sistema de filtragem que está mantendo um olho em sites potencialmente maliciosos para ajudar a proteger-nos contra nós. Mas mesmo essas coisas são claramente imperfeita, se não for com erros, eles mesmos. 

Então aqui-- se você está curioso, eu vou deixar esses slides até online-- é a informação real que o adversário deu. E ele ou ela foi pedindo em bitcoin-- que é um currency-- virtual de $ 800 EUA para realmente descriptografar os dados. Infelizmente, este foi completamente frustrado. Então agora vamos olhar para algo mais político. E mais uma vez, o objetivo aqui é para começar a pensar sobre como você pode tomar decisões mais informadas. E isso é algo acontecendo actualmente no Reino Unido. E este foi um maravilhoso tagline de um artigo sobre isso. O Reino Unido está introduzindo, como você vai ver, um novo vigilância projeto de lei através do qual o Reino Unido é propondo a monitorar tudo os britânicos fazer por um período de um ano. E, em seguida, os dados são jogados fora. Citações, fecha aspas, "seria servir uma tirania bem. " 

Então, vamos dar uma olhada com um amigo do Sr. Colbert. 

[REPRODUÇÃO DE VÍDEO] 

-Bem-Vindo, bem-vindo, bem-vindo a "Semana passada Tonight". Muito obrigado por se juntar a nós. Eu sou John Oliver. Tempo apenas para uma rápida recapitulação da semana. E começamos com o Reino Unido, Magic Kingdom menos da Terra. 

Esta semana, o debate tem sido travada ao longo há mais de uma lei nova controversa. 

-O Governo britânico é novas leis de vigilância descortinando que se estendem significativamente o seu poder para monitorar as atividades online das pessoas. 

-Theresa Maio não chama uma licença para operar. Outros têm chamou-lhe um charter de bisbilhoteiro, não têm? 

-Bem, Segurar porque-- snooper de charter não é a frase certa. Isso soa como o acordo de oito anos de idade, é forçado a assinar promissor para bater antes de ele entrar no quarto dos seus pais. Dexter, assinar charter deste bisbilhoteiro ou não podemos ser responsabilizados pelo que você pode ver. 

Este projeto de lei poderia escrever na lei uma enorme invasão de privacidade. 

-Sob Os planos, uma lista de sites visitada por cada pessoa no Reino Unido será gravado durante um ano e poderia ser colocados à disposição da polícia e de segurança Serviços. 

-Este Comunicações dados não revelaria a página da web exato que você olhou, mas ele iria mostrar o local foi. -ESTÁ BEM. Portanto, não seria armazenar o página exata, apenas o site. Mas isso ainda é um monte de informações. Por exemplo, se alguém visitou orbitz.com, você saberia que eram pensando em fazer uma viagem. Se eles visitaram yahoo.com, você sei que eles apenas teve um acidente vascular cerebral e esqueceu a palavra "google". E se eles visitaram vigvoovs.com, você sabe que eles estão com tesão e sua chave B não funciona. 

E ainda para toda a varredura poderes do projeto de lei contém, Ministro do Interior britânico Theresa May insiste em que os críticos têm soprado para fora de proporção. 

Registro de conexão à Internet é um -Uma registro do serviço de comunicação que uma pessoa tenha usado, não um registro de todas as páginas web que tenham acessado. É simplesmente o equivalente moderno de uma conta de telefone discriminada. 

-Sim, Mas isso não é tão reconfortante, enquanto ela pensa que é. E eu vou dizer porquê. Em primeiro lugar, eu não quero o governo olhando para o meu telefone chama um. E em segundo lugar, um internet histórico de navegação é um pouco diferente do uma conta de telefone discriminada. Ninguém freneticamente exclui seu telefone conta cada vez que terminar uma chamada. 

[FIM DE REPRODUÇÃO] DAVID MALAN: Um teste padrão do emergente sobre a forma como me preparar para a aula. É só assistir à TV por uma semana e ver o que vem de fora, claramente. De modo que, também, foi apenas a partir do último noite no "Last Week Tonight". Então, vamos começar a falar agora sobre algumas das defesas. Com efeito, para algo como este, onde os britânicos estão propondo para manter um registro desse tipo de dados, onde pode ele estar vindo? Bem, lembre-se de pset seis, pset sete, oito e pset agora que dentro daqueles Virtual envelopes-- pelo menos para HTTP-- são mensagens que se parecem com isso. E assim esta mensagem, naturalmente, é não apenas dirigida a um endereço IP específico, que o governo aqui ou ali certamente poderia fazer login. Mas mesmo dentro desse envelope é uma menção explícita do nome de domínio que está sendo visitado. E se não é apenas slash, ele pode realmente ser um nome de arquivo específico ou uma imagem ou um filme específico ou, mais uma vez, qualquer coisa de interesse para que você poderia certamente ser interceptado se todo o tráfego de rede de alguma forma está sendo proxy através de servidores governamentais, como já acontece em alguns países, ou se houver são uma espécie de desconhecido ou acordos não revelados, como já aconteceu neste país entre determinados grande players-- ISPs e empresas de telefonia e o como-- e do governo. 

Tão engraçado story-- a última vez que eu escolhi badplace.com fora do topo da minha cabeça como um exemplo de um esboçado website, eu não fiz, na verdade, veterinário de antemão se ou não que na verdade, levou a uma badplace.com. Felizmente, este domínio nome está apenas estacionado, e ele realmente não levar a uma badplace.com. Então, vamos continuar a usar aquele para agora. Mas me disseram que poderia ter backfire muito mal naquele dia particular. 

Então, vamos começar a conversar agora sobre certas defesas e que buracos lá Pode até ser naqueles. Então senhas é uma espécie de go-to responder para uma série de mecanismos de defesa, certo? Apenas senha protegê-lo, em seguida, que irá manter os adversários fora. Mas o que isso realmente significa? 

Então lembro de hackers dois, de volta se você abordado isso-- quando você teve para quebrar senhas em um file-- ou mesmo em problema definir sete, quando nós damos-lhe uma amostra de SQL arquivo de alguns nomes de usuários e senhas. Estes foram os nomes de usuários que você vi, e estes foram os hashes que distribuído para o edição hacker problema definir dois. E se você estiver se perguntando tudo isso vez que as senhas eram reais, isto é o que, de facto, eles descriptografar para que você poderia ter rachado em pset dois, ou você poderia ter figurado eles brincadeira no conjunto de problemas de sete. Todos eles têm alguns esperançosamente significado bonito aqui ou em New Haven. 

Mas o takeaway é que todos eles, pelo menos aqui, são bastante curto, bastante adivinhação. Quero dizer, com base na lista aqui, que são, talvez, o mais fácil rachar, para descobrir por escrito software que apenas suposições e cheques, Você diria? AUDIÊNCIA: Password. DAVID MALAN: Senha de muito bom, certo? E é uma apenas--, é uma senha muito comum. Na verdade, a cada ano há uma lista de as senhas mais comuns do mundo. E citações, "password" unquote é geralmente no topo dessa lista. Dois, ele está em um dicionário. E você sabe do problema ajustou cinco que não é que pode ser um hard-- pouco tempo consuming-- mas não é assim tão difícil de carregar um grande dicionário na memória e, em seguida, usá-lo para tipo de suposição e verificação todas as palavras possíveis em um dicionário. 

O que mais pode ser bastante fácil de adivinhar e verificar? Sim? 

AUDIÊNCIA: A repetição de letras. 

DAVID MALAN: A repetição de símbolos e letras. Assim, tipo de tipo de. Assim, em fact-- e não vamos entrar em grandes detalhe aqui-- todos estes eram salgados, que você pode se lembrar de conjunto de problemas de documentação de sete. Alguns deles têm diferentes sais. Então, você realmente pode evitar ter repetição de certos personagens simplesmente salgando as senhas de forma diferente. 

Mas coisas como 12345, que é uma coisa muito fácil de adivinhar. E, francamente, o problema com todas essas senhas é que todos eles estão apenas usando 26 possíveis caracteres, ou talvez 52 com algumas letras maiúsculas, e, em seguida, 10 cartas. Eu não estou usando quaisquer caracteres de funky. Eu não estou usando zeros para O do queridos ou pois eu ou da L's ou-- se algum de vocês acha que está sendo inteligente, embora, por ter um zero para um S em sua senha ou-- OK, eu vi alguém sorrir. Então, alguém tem um zero para O um em sua senha. 

Você não está realmente sendo como inteligente como se poderia pensar, certo? Porque se mais do que um dos nós está fazendo isso no quarto-- e eu fui culpado deste como bom-- bem, tipo se de todos de fazer isso, o que o adversário tem que fazer? Basta adicionar zeros e uns e um par de outro-- talvez fours para H's-- ao seu arsenal e apenas substituir aqueles cartas para as palavras de dicionário. E é apenas um adicional loop ou algo parecido. 

Então, realmente, a melhor defesa de senhas é algo muito, muito mais random-parecendo então estes. Agora, obviamente, ameaças contra senhas por vezes, incluem e-mails como esse. Então eu literalmente só tenho este em minha caixa de entrada há quatro dias. Isto é de Brittany, que aparentemente trabalha no harvard.edu. E ela me escreveu como um usuário webmail. "Nós apenas reparou que o seu e-mail conta foi registrado para outro computador numa localização diferente, e você está a verificar sua identidade pessoal. " 

Então temática em muitos e-mails como este, que são exemplos de phishing attacks-- P-H-I-S-H-I-N-G-- onde alguém está tentando pescar e obter algum informações para fora de você, geralmente por um e-mail como este. Mas o que são alguns dos mais revelador sinais de que este não é, de fato, um e-mail legítimo de Universidade de Harvard? O que é isso? 

Então, má gramática, a capitalização estranho, como algumas letras são capitalizado em determinados lugares. Há algum recuo estranho em um par de lugares. O que mais? O que é isso? Bem, isso certamente helps-- a grande caixa amarela que diz que este pode ser o spam O Google, que é certamente útil. 

Portanto, há um monte de sinais reveladores aqui. Mas a realidade é isso e-mails devem trabalhar, certo? É muito barato, se não for livre, para enviar centenas ou milhares de e-mails. E não é apenas através do envio -los fora de seu próprio ISP. Uma das coisas que malwares tende a fazer-- assim vírus e worms que acidentalmente ou infectar computadores, porque eles têm foi escrito por um dos adversaries-- coisas que eles fazem é apenas despejar spam. 

Então, o que há existe no mundo, na verdade, são coisas chamadas botnets, que é uma maneira elegante de dizer que as pessoas com melhor codificação habilidades do que a pessoa que escreveu que a versão de buggy de software, ter software realmente escrito que pessoas como nós unsuspectingly instalar em nossos computadores e, em seguida, começar a correr atrás as cenas, mas para nós. E aqueles malwares programas intercomunicam. Eles formam uma rede, uma botnet se você quiser. E, geralmente, o mais sofisticada de adversários tem algum tipo de controle remoto sobre milhares, se não dezenas de milhares, de computadores por apenas enviar uma mensagem na internet que todas essas bots, por assim dizer, são capazes de ouvir ou ocasionalmente pedido de algum local central e, em seguida pode ser controlada para enviar spam. 

E essas coisas de spam pode ser apenas vendido para o maior lance. Se você é uma empresa ou tipo de uma empresa franja que realmente não se preocupam com o espécie de ética do spamming seus usuários mas você só quer bateu para fora um milhão de pessoas e espero que 1% eles-- que ainda é um número não-trivial potencial de buyers-- você pode realmente pagar esses adversários no tipo de mercado negro das sortes para enviar esses spams via suas botnets para você. 

Então, basta dizer, isso não é um e-mail particularmente atraente. Mas mesmo Harvard e Yale e semelhantes frequentemente cometer erros, em que nós sabemos de algumas semanas volta que você pode fazer uma ligação dizer www.paypal.com. E parece que ele vai para lá. Mas, obviamente, ele na verdade não fazer isso. 

E assim por Harvard e Yale e outros têm certamente cometido ao longo dos anos em enviar e-mails que são legítimos, mas eles contêm hyperlinks neles. E nós, como seres humanos, têm sido treinado por tipo dos funcionários, muitas vezes, para realmente basta seguir ligações que recebemos em um email. Mas mesmo isso não é a melhor prática. Então, se você nunca chegar um e-mail como isto-- e talvez seja a partir Paypal ou Harvard ou Yale ou Bank of America ou o como-- você ainda não deve clique a ligação, mesmo que pareça legítimo. Você deve digitar manualmente URL que você mesmo. E, francamente, isso é o que o administrador do sistema deve estar nos dizendo para fazer isso que nós não estamos enganados em fazer isso. 

Agora, como muitos de vocês, talvez por olhando para o seu lugar, têm senhas escrito em algum lugar? Talvez em uma gaveta em seu quarto do dormitório ou talvez under-- em uma mochila em algum lugar? Carteira? Não? 

AUDIÊNCIA: Em um cofre à prova de fogo? 

DAVID MALAN: um cofre à prova de fogo Em? ESTÁ BEM. Então, isso é melhor do que um nota pegajosa em seu monitor. Então, certamente, alguns você está insistindo no. Mas algo me diz que é não é necessariamente o caso. Assim como sobre um mais fácil, mais provável question-- como muitos de vocês estão usando o mesma senha para vários sites? Oh ok. Agora nós estamos sendo honestos. 

Tudo certo. Então essa é uma notícia maravilhosa, certo? Porque se isso significa que apenas um dos todos os sites que você está usando é comprometida, Agora, o adversário tem acesso a mais dados sobre você ou mais exploits potenciais. Então, isso é fácil de evitar. Mas como muitos de vocês têm um password bastante guessable? Talvez não tão mau como isso, mas alguma coisa? Por algum site idiota, certo? Não é de alto risco, não tem um cartão de crédito? Todos nós. Como, até eu tenho que senhas são, provavelmente, apenas 12.345, com certeza. Então agora tentar fazer login em cada site você pode pensar com malan@harvard.edu e 12345 e ver se isso funciona. 

Mas fazemos isso, também. Então por que? Por que assim que muitos de nós têm ou muito senhas fáceis ou as mesmas senhas? Qual é a do mundo real Justificativa para isso? É mais fácil, certo? Se eu disse ao invés, academicamente, vocês deve ser realmente escolher senhas pseudo-aleatórios que são pelo menos 16 caracteres e tem uma combinação de letras do alfabeto, números e símbolos, que diabos está acontecendo para ser capaz de fazer isso, ou lembre-se aquelas senhas, e muito menos para cada um e cada site é possível? 

Então o que é uma solução viável? Bem, um dos maior takeaways hoje, também, de forma pragmática, faria ser, honestamente, para começar usando algum tipo de gerenciador de senhas. Agora, existem upsides e desvantagens destas coisas, também. Estes são dois que nós tendem a recomendar em CS50. Um botão de chamada 1Password. Um é chamado LastPass. E alguns de vocês podem usá-los já. Mas é geralmente um pedaço de software que não facilita a geração de grande senhas pseudo-aleatórios que você não pode possivelmente lembrar como um ser humano. Ele armazena os pseudo-aleatório senhas em seu próprio banco de dados, espero que em seu disco local, drive-- criptografado, melhor ainda. E tudo que você, o ser humano, tem que se lembrar, Normalmente, é uma senha mestra, que provavelmente vai ser super longa. E talvez não seja caracteres aleatórios. Talvez é, tipo, uma frase ou uma curto parágrafo que você possa lembrar e você pode digitar uma vez por dia para desbloquear o computador. 

Então você usa um especialmente grande senha para proteger e encriptar todas as outras senhas. Mas agora você está no hábito de usar software como este para gerar pseudo-aleatório senhas em todos os sites Tu visitas. E, de fato, eu posso confortavelmente dizer agora, em 2015, Eu não sei mais de minhas senhas mais. Eu sei que minha senha mestra, e eu digito que, sem saber, uma ou mais vezes por dia. Mas o lado positivo é que agora, se houver um dos meus clientes está comprometida, não há nenhuma maneira de alguém é vai usar essa conta para entrar em outro, porque nenhum dos minhas senhas são mais o mesmo. 

E, certamente, ninguém, nem mesmo se ele ou ela escreve software contraditório a força bruta e coisas acho que todos passwords-- possível as chances de que eles vão escolher os meus 24 caracteres longos senhas é tão, tão baixo que eu não sou apenas preocupado com essa ameaça anymore. 

Então, qual é o trade-off aqui? Isso parece maravilhoso. Eu sou muito mais seguro. Qual é o trade-off? Sim? 

AUDIÊNCIA: Time. DAVID MALAN: Time. É muito mais fácil digite 12345 e eu estou conectado em contra algo que é 24 caracteres ou um curto parágrafo. O que mais? 

AUDIÊNCIA: Se alguém quebra sua senha mestra. DAVID MALAN: Yeah. Então você está tipo de mudança o cenário de ameaça. Se alguém adivinha ou figuras fora ou lê o Post-it nota em seu cofre segura de arquivos, a senha mestra que você tem, agora tudo está comprometida em que anteriormente isso era talvez apenas uma conta. O que mais? 

Audiência: Se você quiser usar qualquer de suas contas em outro dispositivo e você não tem LastPass [inaudível]. 

DAVID MALAN: Sim, isso é tipo de captura, também. Com essas ferramentas, também, se você não tem o seu computador e você está dentro, como, algum café ou você está na casa de um amigo ou de um laboratório de informática ou onde quer que você quer e para entrar no Facebook, você não sabe mesmo o que sua senha do Facebook é. Agora, às vezes, você pode atenuar por esta ter uma solução de que falaremos daqui a pouco chamado de autenticação de dois fatores em que o Facebook vai te enviar mensagem ou irá enviar uma mensagem criptografada especial para o seu telefone ou algum outro dispositivo que você carrega em suas chaves com que você pode logar. Mas isso é, talvez, se você é chato no porão do centro de ciência ou em outro lugar aqui no campus de New Haven. Você pode não ter sinal. E assim isso não é necessariamente solução. Então é realmente um trade-off. Mas o que eu gostaria de o encorajar a fazer-- se você ir ao site do CS50, nós realmente organizados para o primeiro de essas empresas para uma licença de instalação, por assim dizer, para todos os alunos CS50 assim você não tem que pagar os US $ 30 ou assim que custa normalmente. Para Macs e Windows, você pode conferir 1Password gratuitamente no site da CS50, e nós vamos ligar-te com isso. 

Perceba, também, que alguns dos estes tools-- incluindo LastPass em um de seus forms-- é baseada em nuvem, como Colbert diz, o que significa que suas senhas encryptedly são armazenados na nuvem. A idéia não é que você pode ir para alguma pessoa aleatória ou computador do amigo e fazer login no seu Facebook conta ou similares porque você primeiro ir para lastpass.com, acessar a sua senha, e, em seguida, digite-o. Mas qual é o cenário de ameaça lá? Se você está armazenando coisas na nuvem, e você está acessando o site em alguns computador desconhecido, o que poderia estar fazendo seu amigo para si ou para suas teclas? ESTÁ BEM. Eu vou estar avançando manualmente desliza agora em diante. 

Keylogger, certo? Outro tipo de malware é um keylogger, que é apenas um programa que, na verdade, registra tudo que você digita. Portanto, há, também, é provavelmente melhor para ter algum dispositivo secundário como este. 

Então, o que é autenticação de dois fatores? Como o nome sugere, é que você tem não um, mas dois fatores com os quais para autenticar para um site. Então, ao invés de usar apenas uma senha, Você tem algum outro segundo fator. Agora, que geralmente é, um, fator é algo que você sabe. Então, alguma coisa tipo de em olho da sua mente, o que é sua senha que você memorizou. Mas dois, não outra coisa que você conhece ou já memorizado mas algo que você tem fisicamente. A idéia aqui é sua ameaça não poderia ser alguma pessoa aleatória na internet, que pode apenas adivinhar ou descobrir sua senha. Ele ou ela tem que ter físico acesso a algo que você tem, que ainda é possível e ainda, talvez, tudo o mais fisicamente ameaçadora. Mas é pelo menos um diferentes tipos de ameaça. Não é um milhão de pessoas sem nome lá fora, tentando entrar em seus dados. Agora é um muito específico pessoa, talvez, que, se isso é um problema, que é Outro problema completamente, bem. 

Assim que geralmente existe para telefones ou outros dispositivos. E, de fato, apenas rolou Yale isso na metade do semestre, tais que isso não afeta pessoas nesta sala. Mas aqueles de vocês seguinte junto em New Haven sei que se você login em seu ID yale.net, além de escrever a sua nome de usuário e sua senha, você está então solicitado com isso. E, por exemplo, esta é uma captura de tela que eu tomei esta manhã quando eu entrar na minha conta Yale. E isso me envia o equivalente de uma mensagem de texto para o meu celular. Mas, na realidade, eu baixei um app de antemão que Yale agora distribui, e eu tenho que agora basta digitar o código que eles enviam para o meu celular. 

Mas, para ser claro, o upside deste é que agora, mesmo se alguém descobre minha senha Yale, estou seguro. Isto não é suficiente. Isso é apenas uma chave, mas eu precisa de dois para desbloquear minha conta. Mas o que é o lado negativo, talvez, do sistema de Yale? E nós vamos deixar Yale sabe. Qual é a desvantagem? O que é isso? Se você não tem serviço de celular ou se você não têm acesso Wi-Fi porque você é apenas em um porão ou algo assim, você pode não ser capaz de obter a mensagem. Felizmente, neste caso particular, isso vai usar o Wi-Fi ou qualquer outra coisa, que funciona em torno dele. Mas um cenário possível. O que mais? Você poderia perder seu telefone. Você simplesmente não tê-lo. A bateria morre. Quero dizer, há um número cenários de irritantes mas possíveis cenários que podem acontecer que fazer você se arrepender desta decisão. E o pior possível resultado, francamente, em seguida, seria para os usuários desativar esta completamente. Portanto, há sempre vai ser essa tensão. E você tem que encontrar por si mesmo como uma espécie de usuário de um ponto doce. E para fazer isso, ter um par de sugestões concretas. Se você usa o Google Gmail ou o Google Apps, sei que se você vai para este URL aqui, você pode habilitar de dois fatores autenticação. Google chama de confirmação em 2 passos. E você clique em Configuração, e então você fazer exatamente isso. Isso é uma boa coisa a fazer, especialmente nestes dias, porque, graças a cookies, você está logado quase todo o dia. Então você raramente têm de digite sua senha de qualquer maneira. Então, você pode fazê-lo uma vez por semana, uma vez por mês, uma vez por dia, e é menos de um grande lidar do que no passado. 

Facebook também tem isso. Se você é um pouco frouxa com digitação sua senha do Facebook em amigos ' computadores, pelo menos, permitir de dois fatores autenticação de modo que esse amigo, mesmo se ele ou ela tem um keystroke logger, eles não podem entrar em sua conta. Bem, por que isso? Eles não poderiam simplesmente registrar o código que eu digitei no meu telefone que o Facebook tem enviado a mim? AUDIÊNCIA: [inaudível]. DAVID MALAN: Yeah. O software bem concebido mudará esses códigos que são enviadas para o seu telefone cada poucos segundos ou a cada vez e de modo que, sim, mesmo se ele ou ela descobre o que é o seu código, você ainda é seguro, porque vai ter expirado. E isso é o que parece gostaria no site do Facebook. 

Mas há uma outra abordagem completamente. Portanto, se esse tipo de trade-offs não são particularmente sedutor, um princípio geral de segurança seria ser, assim, apenas a, pelo menos, as coisas auditoria. Não tipo de colocar a cabeça no areia e nunca sabe se ou quando você foi comprometido ou atacado. Pelo menos criar algum mecanismo que informa instantaneamente Se algo anormal aconteceu de modo que você, pelo menos estreito a janela de tempo durante que alguém pode fazer estragos. 

E por isso, quero dizer o following-- no Facebook, por exemplo, você pode ligar o eles chamam de alertas de login. E agora, eu tenho habilitado e-mail Identifique-se alertas, mas não notificações. E o que isso significa é que, se os avisos Facebook Eu já registrado em um novo Computador-- como se eu não tiver um cookie, ele é um endereço IP diferente, é um tipo diferente de Computador-- eles vão, neste cenário, enviar me um e-mail dizendo, hey, David. Parece que você conectado a partir de um computador desconhecido, apenas FYI. 

E agora a minha conta pode ser comprometida, ou meu amigo irritante poderia ter sido o login em minha conta agora postando coisas no meu feed de notícias ou similares. Mas, pelo menos, a quantidade de tempo com o qual eu sou ignorante do que é super, super estreita. E eu espero que possa responder. Assim, todos os três destes, eu o faria digamos, são coisas muito boas para fazer. Quais são algumas das ameaças que são um pouco mais difícil para nós que os usuários finais para se proteger contra? Alguém sabe o que seqüestro de sessão é? É uma ameaça mais técnico, mas muito familiar agora que nós temos feito PSET seis e sete e oito agora. Então lembro que quando você enviar o tráfego através da internet, algumas coisas acontecem. Deixe-me ir em frente e registrar em C9 ou CS50.io. Dê-me apenas um momento para login na minha conta jHarvard. 

AUDIÊNCIA: Qual é a sua senha. 

DAVID MALAN: 12.345. Tudo certo. E aqui, sei que se eu ir em frente e pedir um web página-- e, entretanto, deixe-me fazer isso. Deixe-me abrir Inspector do Chrome guia e meu tráfego de rede. E deixe-me ir para http://facebook.com e limpar esta. Na verdade, você sabe o quê? Vamos para um mais familiar um-- https://finance.cs50.net e clique em Inserir e log o tráfego de rede aqui. 

Então, observe aqui, se eu olhar no meu tráfego de rede, resposta headers-- vamos até aqui. Resposta headers-- aqui. Assim, o primeiro pedido que eu enviou, que foi para a página padrão, ele respondeu com esses cabeçalhos de resposta. E nós falamos sobre coisas como localização. Como, localização significa redirecionar para login.php. Mas uma coisa que nós não falamos uma enorme montante foi sobre linhas como este. Portanto, este é interior da envelope virtual que é enviado de CS50 Finance-- a versão que vocês escreveram, demasiado-- para laptop de um usuário ou computador de mesa. E esta é a criação de um cookie. Mas o que é um cookie? Pense de volta a nossa discussão sobre PHP. Sim? Sim, é uma maneira de dizer o site que você ainda está logado. Mas como é que isso funciona? Bem, ao visitar finance.cs50.net, parece que esse servidor que implementamos é definir um cookie. E esse cookie é convencionalmente chamar PHPSESSID ID sessão. E você pode pensar nisso como um handstamp virtual em um clube ou, como, um parque de diversões, um pequeno pedaço de tinta vermelha que vai na sua mão de modo que a próxima vez que você visitar o portão, você simplesmente mostrar o seu lado, ea segurança na porta vai deixar você passar ou não em tudo com base nesse selo. 

Assim, a subsequente Solicita que o meu navegador sends-- se eu ir para o próximo pedido e você olha para os cabeçalhos de solicitação, você vai perceber mais coisas. Mas o mais importante é essa porção destacada aqui-- não definido bolinho mas cookie. E se eu folhear cada um dessas solicitações HTTP subseqüentes, cada vez que eu iria ver uma mão sendo estendido com que exatamente o mesmo PHPSESSID, o que quer dizer esta é a mechanism-- este grande pseudorandom number-- que um servidor usa para manter a ilusão de do PHP $ _SESSION objeto, no qual você pode armazenar coisas como ID do usuário ou o que está em seu carrinho de compras ou qualquer número de outras partes de dados. 

Então, qual é a implicação? Bem, o que se isso dados não são criptografados? E, de fato, que para melhor prática criptografar praticamente cada um dos websites da CS50 estes dias. Mas é muito comum nestes dias para sites ainda não ter em HTTPS o início da URL. Eles são apenas HTTP, dois pontos, corte barra. Então, qual é a implicação lá? Isso significa simplesmente que todos estes cabeçalhos estão dentro desse envelope virtual. E qualquer um que fareja o ar ou fisicamente intercepta esse pacote fisicamente pode olhar para dentro e ver o que esse cookie é. 

E assim seqüestro de sessão é simplesmente uma técnica que um adversário usa para farejar dados no ar ou em alguns rede com fios, olhar para dentro deste envelope, e ver, oh. Vejo que seu cookie 2kleu é o que quer. Deixe-me ir em frente e fazer uma cópia do seu selo mão e agora começar a visitar Facebook ou Gmail ou o que quer me e apenas apresentar o mesmo handstamp exata. E a realidade é, navegadores e servidores são realmente tão ingênuo. Se o servidor vê que mesmo biscoito, seu propósito na vida deve ser para dizer, oh, que deve ser David, que apenas logado um pouco atrás. Deixe-me mostrar esse mesmo usuário, presumivelmente, caixa de entrada de David ou Facebook mensagens ou qualquer outra coisa em que seu logado. 

E a única defesa contra que é para encriptar apenas tudo dentro do envelope. E, felizmente, um monte de sites gostar Facebook e Google e similares estão fazendo isso hoje em dia. Mas qualquer que não deixá-lo perfeitamente, perfeitamente vulnerável. E uma das coisas que você pode fazer-- e uma das características agradáveis, francamente, de 1Password, o software Mencionei anteriormente, é se você instalá-lo em seu Mac ou PC, o software, além de armazenar o seu senhas, será também avisá-lo se você nunca tentar login em um site que é indo para enviar seu nome de usuário e senha não criptografada e em claro, por assim dizer. Tudo certo. Então seqüestro de sessão se resume a isso. Mas há esse outro forma que os cabeçalhos HTTP pode ser usado para tirar vantagem de nós. E isso ainda é uma espécie de um problema. Isto é realmente apenas uma adorável desculpe a colocar-se Cookie Monster aqui. Mas Verizon e AT & T e outros tomaram um monte de críticas alguns meses atrás para injetar, sem o conhecimento de usuários inicialmente, um cabeçalho HTTP extra. 

Assim, aqueles de vocês que tiveram Verizon Wireless e AT & T celular telefones, e você foi visitar websites através de seu telefone, sem o seu conhecimento, após o seu HTTP solicitações deixar Chrome ou Safari ou o que quer em seu telefone, vá a Verizon ou AT & T roteador, eles presunçosamente durante algum tempo têm sido a injecção de um cabeçalho que parece isto-- como um par de valor-chave onde a chave é apenas X-UIDH para identificador exclusivo cabeçalho e, em seguida, algum valor aleatório grande. E eles fazem isso para que podem exclusivamente identificar todo o tráfego web para pessoas que recebem o seu pedido HTTP. 

Agora, por que Verizon e AT & T e similares quer para identificá-lo exclusivamente para todos os sites que você está visitando? 

AUDIÊNCIA: melhor serviço ao cliente. 

DAVID MALAN: melhor-- não. É uma boa idéia, mas é não para melhor atendimento ao cliente. O que mais? Publicidade, certo? Assim, eles podem construir uma rede de publicidade, presumivelmente, pelo que, mesmo que você ter desligado cookies, mesmo se você tiver especial software no seu telefone que mantém você em incógnito mode-- ha. Não há modo anônimo quando o homem no middle-- literalmente, Verizon ou AT & T-- está injetando dados adicionais sobre as quais você não tem controle, revelando, assim, quem você é para que o site resultante de novo e de novo. 

Então, existem maneiras de se optar por este. Mas aqui, também, é algo que, francamente, a única maneira para empurrar para trás sobre isso é para deixar a transportadora completamente, desative- se eles ainda permitem que você, ou, como aconteceu neste caso, fazer um pouco de barulho on-line, tais que as empresas realmente responder. Isto, também, é apenas mais um adorável oportunidade de mostrar isso. 

E vamos dar uma olhada, vamos dizer, uma ou duas ameaças finais. Então nós conversamos sobre CS50 Finance aqui. Então, você vai perceber que temos este bonito pequeno ícone no botão de login aqui. O que significa se eu em vez disso use este ícone? Portanto, antes, depois. Antes depois. O que após dizer? É seguro. Isso é o que eu gostaria que você pensa. Mas, ironicamente, é seguro porque nós temos HTTPS. 

Mas isso é como é fácil de mudar algo em um site, certo? Vocês todos sabem um pouco de HTML e CSS agora. E, de fato, é bastante a-- fácil e se você não fazer ele-- para alterar o ícone. Mas isso, também, é o que empresas nos ensinaram a fazer. Então, aqui está uma imagem do Bank do website da América, esta manhã. E observe, um, eles são tranquilizar-me que é que é um sinal seguro em no canto superior esquerdo. E eles também têm um ícone de cadeado no botão, o que significa que para mim, o usuário final? 

Verdadeiramente nada, certo? O que importa é o fato de que não é o grande verde URL em cima com HTTPS. Mas se nós zoom isso, é apenas como eu, sabendo um pouco de HTML e um pouco de CSS, e dizendo: hey, meu site é seguro. Como, qualquer pessoa pode colocar um cadeado eo palavra segura sign-on no seu site. E ele realmente não significa nada. O que significa algo é algo como isto, onde você ver https: // o fato de que Bank of America Corporation tem este grande barra verde, enquanto CS50 não faz, significa apenas que pagaram várias centenas dólares mais para ter adicional verificação do seu domínio feito em os EUA para que os navegadores que aderem a esta norma também irá mostrar-nos um pouco mais do que isso. 

Então, vamos deixar as coisas em que, assustá-lo um pouco mais antes de tempo. Mas na quarta-feira, nós estaremos unidos por SCAZ de Yale para uma olhada inteligência artificial eo que podemos fazer com essas máquinas. Vamos vê-lo na próxima vez.