[MUSIK SPELA] DAVID MALAN: Detta är CS50, och Detta är början på vecka 10. Och ni kanske minns det här bild från ett par veckor tillbaka När vi pratade om Internet och hur det är faktiskt genomförs fysiskt. Och du kanske kommer ihåg att det finns faktiskt en hel massa kablar samt trådlöst teknik som interconnect alla noderna eller routrar och annan sådan teknik på Internet. Och en hel del som är underseas. Tja, visar det sig att de underseas kablar är en bit av ett mål. Och dagens föreläsning är helt om säkerhet, inte bara de hot som vi alla står inför fysiskt, men också nästan, och även, i riktning mot fria änden idag, några av försvaret att vi som användare kan faktiskt infört. Men först, en av de första och kanske mest fysiska threat-- [VIDEOAVSPELNING] -Skulle Ryssland vara planering en attack mot undervattenskablar som förbinder globala internet? -ryskt Fartyg och ubåtar lurar nära undervattenskablar som bär nästan alla av världens internet. -Den Hela internet är medbringas dessa kablar. -Först Av allt, vad är Internet gör under vatten? Sist jag kollade, jag är inte skulle få min dator våt. För det andra, om du frågar mig hur internet färdas från kontinent till kontinent, Jag skulle ha sagt satelliter eller laser, eller, ärligt talat, Jag förmodligen skulle ha just sagt internet. Och vad hände med molnet? Jag fick veta det fanns ett moln. Kom ihåg? Hej, låt oss sätta det i molnet. Det var som internet var en ånga information som cirklar jorden, och datorn var som en skänk som öste ut vad du behöver. Men det visar sig internet är faktiskt under vattnet eftersom dessa kablar bära mer än 95% av den dagliga internetkommunikation. Och amerikanska underrättelse oro för att i tider av spänning eller konflikt, Ryssland kanske gripa avskiljning dem. Det skulle vara den största störning till din Internetleverantör eftersom din övervåningen granne sätta ett lösenord på sin Wi-Fi. OK? Prova hans hund namn. [END SPELA] DAVID MALAN: Innan vi övergår nu till några av de mer virtuella hot, ett par meddelanden. Så våra vänner en CrimsonEMS finns för närvarande rekrytera nya Ambulanssjukvårdare, Emergency Medical tekniker. Och det är faktiskt något särskilt nära mitt hjärta. För länge sedan, jag minns att i en Ikea strax efter examen, faktiskt. Och som jag lämnar butiken, detta liten pojke som var i en sittvagn började vända bokstavligen blå. Och han var kvävning på någon bit av mat som hade förmodligen fastnat i halsen. Och hans mor panik. Föräldrarna runt omkring dem var panik. Och även jag, som hade lite kännedom med EMS precis form av vänner, helt frös. Och det var bara tack vare något som en 15-årig lifeguard som sprang över och faktiskt visste vad gör instinktivt och ropade på hjälp och faktiskt drog pojke ur hans barnvagn och faktiskt upp situationen. Och för mig, det var en vändpunkt. Och det var det ögonblicket i tid då jag bestämde mig, dammit, Jag måste ha min handling tillsammans och faktiskt vet hur man ska bemöta dessa typer av situationer. Och så jag själv fick licens år sedan som en EMT. Och genom forskarskolan jag rida på MIT: s ambulans under en tidsperiod samt som har hållit upp min licens sedan. Och faktiskt, i dag, alla av CS50 personal här i Cambridge faktiskt certifierade HLR, också, av liknande skäl. Så om du är på alla intresserade av detta, det finns aldrig kommer att finnas tillräckligt med tid i dagen för att ta på sig något nytt. Men om du vill ha en nyårs upplösning, går med killarna här eller överväga att nå ut till Röda Korset för certifiering, antingen här eller i New Haven, liksom. Så CS50 sista lunch är på fredag. Så om du ännu inte har anslöt sig till oss, eller om du har och du vill ha en mer tid, går på CS50: s hemsida för att fyll i formuläret där. Vet också att våra vänner i Yale, professor Scassellati, har producerat en AI, artificiell intelligens, serie för oss som kommer att börja debut denna vecka på video. Så särskilt om du är intresserad att fullfölja ett lärdomsprov på något sätt relaterade till artificiell intelligens, naturliga språk, även robotik, inse att dessa kommer vara en underbar inspiration för det. Och bara för att ge dig en teaser av detta, här är SCAZ själv. [VIDEOAVSPELNING] -En Av de riktigt stora saker om datavetenskap är att även endast med några veckor av studien, du kommer att kunna förstå många av de intelligenta artefakter och enheter som befolkar vår moderna värld. I denna korta video serien, vi kommer att se på saker som hur Netflix kan att föreslå och rekommendera filmer att jag kanske gillar, hur det är att Siri kan svara på frågor som jag har, hur det är att Facebook kan känna igen mitt ansikte och automatiskt tagga mig i ett fotografi, eller hur Google kan bygga en bil som kör på egen hand. Så jag hoppas att ni kommer att förena sig med mig för denna korta serie videoklipp, den CS50 AI-serien. Jag tror att du kommer att upptäcka att du vet mycket mer än du trodde att du gjorde. [END SPELA] DAVID MALAN: Så de kommer att visas på kursens hemsida senare i veckan. Håll ögonen öppna. Och under tiden, ett par meddelanden om vad som ligger framför oss. Så vi är här. Detta är enligt vår föreläsning om säkerhet. Detta kommande onsdag, SCAZ och Andy, vårt huvud undervisning kolleger i New Haven, kommer att vara här för att titta på artificiell intelligens sig för en titt på beräkning för communication-- hur man bygger system som använder språket för att kommunicera från ELIZA, Om du är bekant med detta mjukvara från förr, till Siri på senare tid och Watson, som du kanske vet från Jeopardy eller liknande. Sedan nästa måndag, vi är inte här i Cambridge. Vi är i New Haven för en andra titta på artificiell intelligens med SCAZ och company-- AI-motståndare i spel. Så om du någonsin spelat mot datorn i vissa videospel eller mobil spel eller liknande, ska vi tala om exakt hur that-- att bygga motståndare för spel, Hur man representera saker under köksfläkten med träd från spel som Tre i rad schack faktiska modern videospel, liksom. Tyvärr är frågesport ett kort därefter. Mer information om att om CS50: s hemsida senare i veckan. Och vår sista föreläsning på Yale kommer vara fredagen efter testet. Och vår sista föreläsning på Harvard kommer att vara måndagen därefter, som på grund av schemaläggning. Och så när det gäller milstolpar, förutom pset åtta denna vecka; statusrapport, som kommer att vara en snabb sanity check mellan dig och din undervisning karl; den hackathon, vilket kommer att vara här i Cambridge för studenter från New Haven och Cambridge lika. Vi kommer att ta hand om alla transport från New Haven. Genomförandet av slutgiltiga projektet skall betalas. Och sedan för båda campus kommer det att finnas en CS50 rättvis som tillåter oss att ta en titt på och glädje i vad alla har åstadkommit. I själva verket trodde jag att detta skulle vara en bra ögonblick för att uppmärksamma den här enheten här, som vi har använt för viss tid här, som är en trevlig touch screen. Och faktiskt, sista året hade vi en $ 0,99 app att vi hämtat från App Windows lagra för att rita på skärmen. Men ärligt talat, det var mycket rörig. Det tillät oss att dra nytta av den skärm, men det fanns, liksom, en hel del ikoner upp här. Användargränssnittet var ganska dåligt. Om du vill ändra vissa inställningar, Det var bara så många jävla klick. Och användaren interface-- eller, rättare sagt, användaren experience-- var ganska suboptimal, särskilt använda det i en föreläsning miljö. Och så vi nått ut en vän till oss på Microsoft, Björn, som är faktiskt har följt tillsammans med CS50 nätet. Och som hans sista projekt, i huvudsak, det gjorde han mycket nådigt ta lite input från oss om exakt funktioner och användarupplevelse Vi vill. Och han gick sedan om att bygga för Windows denna applikation här som tillåter oss att draw-- oops-- och stava på the-- wow. Tack. Att rita och stava på den här skärmen här med mycket minimal användargränssnitt. Så du har sett mig, kanske trycker upp här aldrig så lite där nu vi kan understryka saker i rött. Vi kan växla och nu gå till vit text här. Om vi ​​vill faktiskt ta bort skärmen, kan vi göra det. Och om vi faktiskt föredrar en vit duk, kan vi göra det. Så det gör så fruktansvärt lite genom design och gör det bra. Så att jag futz, förhoppningsvis, mycket mindre i år i klassen. Och tack också till en skyddsling av hans jag ha på sig i dag en liten ring. Detta är Benjamin, som var praktikant med Björn i somras. Så det är en liten ring. Det är lite större än min vanliga ring. Men via en liten ringa på sidan här kan jag faktiskt flytta sliderna vänster och höger, framåt och tillbaka, och faktiskt avancera saker trådlöst så att en, jag har inte att hålla gå tillbaka över till mellanslagstangenten här. Och två, jag inte ha en av de dumma clickers och oroar min hand genom att hålla den förbannade saken hela tiden För att bara klicka. Och säkert, i tid, kommer hårdvaran såhär få super, super mindre. Så visst, tveka inte att tänka utanför boxen och göra saker och skapa saker som inte ens Det finns ännu för examensarbeten. Utan vidare, en titt på vad som väntar som du dyka in i din sista projekt på CS50 hackathon [VIDEOAVSPELNING] [MUSIK SPELA] [SNARKNING] [END SPELA] DAVID MALAN: Okej. Så Stephen Colbert klipp som jag visade nyss var faktiskt på TV några dagar sedan. Och i själva verket ett par av de andra klipp vi ska visa i dag är otroligt nyligen. Och faktiskt, talar det till verklighet som så mycket av teknik och, uppriktigt sagt, en hel del av de idéer Vi har pratat om i CS50 verkligen är allestädes närvarande. Och ett av målen för kursen är verkligen att utrusta dig med teknisk kompetens så att du faktiskt kan lösa problem programmatiskt, men två, så att du faktiskt kan fatta bättre beslut och fatta mer välgrundade beslut. Och i själva verket, tematiska hela tryck och online video och artiklar dessa dagar är bara en skrämmande missförstånd eller brist förståelse för hur tekniken fungerar, särskilt bland politiker. Och så faktiskt, på bara lite vi ska ta en titt på en av dessa uppgifter, också. Men bokstavligen bara pågå natt satt jag i Bertuccis, en lokal franchise-italienska plats. Och jag hoppade på deras Wi-Fi. Och jag var mycket lugnad att se att det är säkert. Och jag visste att eftersom det står här "Secure Internet Portal" när skärmen kom upp. Så det här var den lilla prompt som kommer upp i Mac OS eller i Windows när du ansluter till en Wi-Fi-nätverk för första gången. Och jag var tvungen att läsa igenom deras villkor och villkor och slutligen klicka på OK. Och sedan fick jag fortsätta. Så låt oss börja att tänka vad alla Detta innebär och inte längre ta för beviljas vad folk berätta när vi möter den med olika teknik. Så man, vad betyder det att Detta är en säker Internetportal? Vad kunde Bertuccis vara skönt mig om? Publik: De paket som skickas fram och tillbaka är krypterade. DAVID MALAN: Good. Paketen skickas tillbaka och tillbaka krypteras. Är det i själva verket är fallet? Om så vore fallet, vad skulle jag måste göra eller vad skulle jag veta? Tja, skulle du se en liten hänglås ikon i Mac OS eller Windows säger att Det finns faktiskt vissa kryptering eller förvränga pågår. Men innan du kan använda en krypterad portal eller Wi-Fi-anslutning, vad har du att normalt skriva in? Ett lösenord. Jag vet ingen sådan lösenord, inte heller jag skriver något sådant lösenord. Jag bara klickade OK. Så det här är helt meningslöst. Detta är inte en säker Internetportal. Detta är en 100% osäkra internetportal. Det finns absolut ingen kryptering går på, och allt som gör det säkert är att tre ord fras på skärmen där. Så det betyder ingenting, nödvändigtvis, tekniskt. Och lite mer oroande, om du verkligen Läs igenom villkoren, som är förvånansvärt läsbar, var this-- "du förstå att vi förbehåller oss rätten att logga eller övervaka trafiken till garantera dessa villkor följs. " Så det är lite obehagligt, om Bertuccis är att titta på min internettrafik. Men de flesta någon överenskommelse som du har blint klickade vidare har säkert sagt att innan. Så vad gör det egentligen betyda teknologiskt? Så om det finns några läskiga kille eller kvinna i ryggen som är, liksom, övervakning all internettrafik, hur han eller hon tillgång denna information exakt? Vilka är de tekniska organ via vilka att person-- eller motståndare, fler generally-- kan titta på vår trafik? Tja, om det inte finns någon kryptering, vad typer av saker kan de lukta, så att säga, typ av upptäcka i luften. Vad skulle du tittar på? Ja? Publik: Paketen skickas från datorn till routern? DAVID MALAN: Ja. Paketen som sänds från datorn till routern. Så du kanske kommer ihåg när Vi var i New Haven, vi passerade dessa höljen, fysiskt, hela publiken att representera data som går via Internet. Och visst, om vi slängde dem genom publiken trådlöst att nå sin destination, kan vem som helst sorts ta tag i det och göra en kopia av det och faktiskt se vad som är Insidan av detta kuvert. Och, naturligtvis, vad är insidan av dessa höljen är en rad olika saker, inklusive IP-adress att du försöker åtkomst eller värdnamnet, liknande www.harvard.edu eller yale.edu att du försöker att få tillgång till eller något helt annat. Dessutom stigen, too-- ni vet från pset sex att insidan av HTTP-förfrågningar är få snedstreck something.html. Så om du besöker en viss sida, hämta en viss bild eller video, all denna information är insidan av det paketet. Och så någon där i Bertuccis burk vara att titta på att mycket samma data. Nå, vad är några andra hot längs dessa linjer att vara uppmärksam på innan du bara börja acceptera som fakta vad någon som Bertuccis helt enkelt talar om för dig? Nåväl, var detta en article-- en serie artiklar som kom ut bara några månader tillbaka. I ropet dessa dagar är dessa nymodiga smarta tv-apparater. Vad är en smart TV, om du har hört talas om dem eller har en hemma? PUBLIK: Internet-anslutning? DAVID MALAN: Ja, Internet-anslutning. Så i allmänhet, är en smart tv en TV med internet-anslutning och en verkligen skit användare gränssnitt som gör det svårare att faktiskt använda webben eftersom du måste använda, som, upp, nedåt, åt vänster och höger eller något på fjärrkontrollen bara att få tillgång till saker som är så mycket lättare gjort på en bärbar dator. Men mer oroande om en smart TV, och Samsung-TV i detta speciella fall, var att Samsung-TV och andra dessa dagar kommer med viss hårdvara att skapa vad de hävdar är en bättre användargränssnitt för dig. Så en, kan du prata med några av dina TV dessa dagar, inte olikt Siri eller någon av de andra motsvarigheter på mobiltelefoner. Så du kan säga kommandon, som byter kanal höja volymen, stänga av, eller liknande. Men vad är innebörden av som logiskt? Om du har TV i ditt vardagsrum rum eller TV vid foten av din säng att somna till, Vad är innebörden? Ja? PUBLIK: Det kan finnas något går in genom mekanismen att upptäcka ditt tal. DAVID MALAN: Ja. PUBLIK: Det kunde sändas via internet. Om det är okrypterad, då är det sårbart. DAVID MALAN: Faktiskt. Om du har en mikrofon inbyggd till en TV och dess syfte i livet är, genom sin konstruktion, för att lyssna till dig och svara på dig, det säkerligen kommer att vara lyssna på allt du säger och sedan översätta det till vissa inbyggda instruktioner. Men fångsten är att de flesta av dessa TV-apparater är inte helt smarta sig. De är mycket beroende av att internet-anslutning. Så mycket som Siri, när du pratar i telefonen, snabbt sänder denna data över Internet till Apples servrar, sedan får tillbaka ett svar, bokstavligen Samsung TV medel bara skicka allt du är säger i ditt vardagsrum eller sovrummet till sina servrar bara för att upptäcka sa han, slå på TV eller stänga av TV: n? Och Gud vet vad annars kan yttras. Nu finns det vissa sätt att mildra detta, eller hur? Precis vad gör Siri och vad gör Google och andra gör åtminstone försvara sig mot att risken för att de är lyssna till allt? Det måste aktiveras genom att säga något liknande, hey, Siri, eller hi Google eller liknande eller OK, Google eller liknande. Men vi vet alla att de uttryck slags suger, eller hur? Som jag var bara sitting-- faktiskt sista gången Jag var på kontorstid vid Yale, tror jag, Jason eller en av TF hålls yelling, liknande, hey, Siri, hej, Siri och gjorde min telefon göra saker eftersom han var alltför proximal till min telefon. Men det omvända är också sant. Ibland dessa saker bara sparka på eftersom det är ofullkomliga. Och faktiskt, naturliga språk processing-- förstå en människas frasering och sedan gör något baserat på det-- är verkligen ofullkomlig. Nu, ännu värre, en del av er kanske har sett eller har en TV där du kan göra dumma eller new age-saker som detta att byta kanal till vänster eller detta för att byta kanal till höger eller sänka volymen eller höja volymen. Men vad betyder det TV har? En kamera riktad mot dig på alla möjliga tider. Och i själva verket brouhaha runt Samsung TV för vilka de tog några flack är att om du läsa villkoren och betingelserna för TV-- saken du säkert aldrig läst vid uppackning TV: n för första time-- inbäddade där var en liten disclaimer säger motsvarande, en som du kanske inte vill ha personlig konversationer framför TV: n. Och det är vad det minskar till. Men du bör inte ens måste få veta det. Du bör kunna sluta sig till verkligheten att mikrofon och kamera bokstavligen pekade på mig hela tiden kanske är mer dåligt än bra. Och ärligt talat, jag säger detta något hycklande. Jag har bokstavligen, förutom dessa kameror, Jag har en liten liten kamera här i min laptop. Jag har en annan hit. Jag har i mitt mobiltelefon på båda sidor. Så så att jag lägger ner på fel sätt, de kan fortfarande titta på mig och lyssna på mig. Och allt detta skulle kunna vara händer hela tiden. Så vad hindrar min iPhone eller Android telefon från att göra detta hela tiden? Hur vet vi att Apple och några läskiga person i Google, inte lyssnar på denna mycket konversation via telefonen eller samtal Jag har hemma eller på jobbet? PUBLIK: Eftersom våra liv är inte så intressant. DAVID MALAN: Eftersom vår liv är inte så intressant. Det är faktiskt ett giltigt svar. Om vi ​​inte oroliga om ett särskilt hot, finns det en sorts som bryr aspekt till den. Lite gamla mig kommer inte att verkligen vara ett mål. Men de verkligen kunde. Och så även om du ser några ostliknande saker på TV och filmer, som, åh, låt oss vända på nätet och-- som Batman gör detta en hel del, faktiskt, och faktiskt kan se Gotham, vad är händer i form av människors mobiltelefoner eller liknande. En del av detta är lite futuristisk, men vi är ganska mycket där dessa dagar. Nästan alla av oss är gå runt med GPS transpondrar som är berättar Apple och Google och alla andra som vill vet var vi är i världen. Vi har en mikrofon. Vi har en kamera. Vi berättar saker som snapchat och andra program alla vi vet, alla deras telefonnummer, alla sina e-postadresser. Och så igen, en av de hämtställen idag, förhoppningsvis, är att åtminstone paus lite innan bara blint säga, OK när du vill bekvämligheten med snapchat veta vem alla dina vänner är. Men omvänt, nu snapchat vet alla du känner och alla små anteckningar du kanske har gjort i dina kontakter. Så det här var ett lägligt, också. För några månader tillbaka, snapchat själv var inte äventyras. Men det hade förekommit en del tredjepartsprogram som gjorde det lättare att spara snaps och fångsten var att denna tredje part tjänsten var själv äventyras, delvis på grund snapchat service stödde en funktion som de förmodligen borde inte ha, vilket möjliggjorde för detta arkivering av en tredje part. Och problemet var att ett arkiv av, liksom, 90.000 snaps, tror jag, i slutändan äventyras. Och så du kan ta lite tröst i saker som snapchat är efemära, höger? Du har sju sekunder för att titta på som olämpligt meddelande eller en anteckning, och sedan försvinner. Men en, de flesta av er har förmodligen listat ut hur man tar skärmdumpar vid det här laget, vilket är det mest enkla sätt att kringgå det. Men två, det finns inget som hindrar den företaget eller personen är på internet från avlyssning att uppgifter, potentiellt, liksom. Så det här var bokstavligen bara en dag eller två sedan. Detta var en trevlig artikel rubriken på en hemsida på nätet. "Episka Fail-- Ström Worm Ransomware misstag förstör Offrets Data Under Encryption. " Så en annan rippade från rubriker sånt här. Så du kan ha hört talas om sabotageprogram, som är skadlig software-- så skadliga program att människor med för mycket fritid skriva. Och ibland, bara gör det dumma saker som radera filer eller skicka skräppost eller liknande. Men ibland, och i allt högre grad, det är mer sofistikerade, eller hur? Ni vet hur man plaska i kryptering. Och Caesar och Vigenère inte super säker, men det finns andra som, förvisso, som är mer sofistikerade. Och så vad denna motståndare gjorde var skrev ett stycke skadlig kod som på något sätt infekterat en gäng folks datorer. Men han var typ av en idiot och skrev en buggig version av denna malware så att när han eller hon genomfört code-- åh, vi är få en hel del of-- ledsen. Vi får en hel del träffar på mikrofonen. OK. Så vad problemet var att han eller hon skrev några dålig kod. Och så de genererade pseudo-slumpartat en krypteringsnyckel med som att kryptera någons data ondskefullt, och sedan av misstag kastade bort krypteringsnyckeln. Så effekten av detta malware var inte som det var tänkt, som gisslan någons uppgifter från kryptera sin hårddisk och sedan förväntar sig 800 $ US i gengäld för krypteringsnyckeln, vid vilken punkt offret kunde dekryptera hans eller hennes uppgifter. Snarare, den onde bara krypterat alla data på sin hårddisk, av misstag bort krypteringsnyckeln, och fick inga pengar ut av det. Men det betyder också att offret är verkligen ett offer för nu han eller hon kan inte återhämta sig något av uppgifterna om de inte de faktiskt har några gamla skolan backup av det. Så här är också en slags verklighet att du kommer att läsa om i dessa dagar. Och hur kan du försvara sig mot detta? Nåväl, detta är en hel burk maskar, no pun intended, om virus och maskar och liknande. Och det är säkert programvara som du kan försvara dig själv. Men bättre än det är bara för att vara smart om det. Faktum är att jag haven't-- detta är en av dessa gör som jag säger, inte som jag gör saker, perhaps-- jag har inte riktigt använt antivirusprogram i år eftersom om du vanligtvis vet vad du ska leta efter, kan du försvara mot de flesta allt på egen hand. Och faktiskt, tid här på Harvard-- fanns en bugg eller ett problem förra veckan där Harvard är klart, något liknande, övervakning massor av nätverkstrafik. Och alla ni även besöker CS50 hemsida kan ha fått en varning talesätt att du inte kan besöka denna webbplats. Det är inte säkert. Men om du försökte besöka Google eller andra webbplatser, Även de också var osäker. Det beror på Harvard, också har någon typ av filtreringssystem som håller ett öga på potentiellt skadliga webbplatser för att skydda oss mot oss. Men även dessa saker är klart defekt, om inte buggig själva. Så här-- om du är nyfiken, jag lämna dessa diabilder upp online-- är den faktiska informationen att motståndaren gav. Och han eller hon var begär i bitcoin-- som är en virtuell currency-- $ 800 USA faktiskt dekryptera dina data. Tyvärr har detta var helt omintetgjort. Så nu ska vi titta på något mer politisk. Och återigen, här är målet att börja tänka på hur du kan fatta mer välgrundade beslut. Och detta är något händer för närvarande i Storbritannien. Och det var en underbar tagline från en artikel om detta. Den brittiska introducerar, som ser du en ny övervakning proposition varigenom Storbritannien är föreslå att övervaka allt britterna gör för en period av ett år. Och sedan data kastas ut. Citat, unquote, "Det skulle tjänar en tyranni väl. " Så låt oss ta en titt med en vän till Mr Colberts. [VIDEOAVSPELNING] -Välkommen, Välkommen, välkommen till "Förra veckan Tonight". Tack så mycket för att gå med oss. Jag är John Oliver. Bara tid för en snabb resumé av veckan. Och vi börjar med den brittiska, Jordens minst magiska kungariket. Den här veckan debatt har rasat över där över en kontroversiell ny lag. -Den Brittiska regeringen är avtäckningen nya lagar övervaknings att kraftigt utvidga sin makt att övervaka människors aktiviteter på nätet. -Theresa Maj finns samtal det en licens att driva. Andra har kallat det en snooper charter, har inte de? -Ja, Vänta because-- Snoopers charter är inte rätt fras. Det låter som Avtalet en åtta år gammal är tvingas underteckna lovande att slå innan han går in i sina föräldrars sovrum. Dexter, underteckna detta snooper stadgar eller Vi kan inte hållas ansvariga för vad du kan se. Detta lagförslag skulle kunna skriva in i lag en enorm integritetskränkning. -Under Planerna, en lista över webbplatser besöks av varje person i Storbritannien spelas in under ett år och kunde göras tillgänglig för polis och säkerhet tjänster. -Detta Kommunikation uppgifter skulle inte avslöja den exakta webbsida du tittat på, men det skulle visa platsen det var på. -OK. Så det skulle inte lagra exakta sida, bara hemsidan. Men det är fortfarande en hel del information. Till exempel, om någon besökte orbitz.com, du skulle veta att de var funderar på att ta en tur. Om de besökte yahoo.com, skulle du vet att de hade bara en stroke och glömde ordet "google". Och om de besökte vigvoovs.com, du skulle veta att de är kåta och deras B-tangenten fungerar inte. Och ändå för alla svepande befogenheter räkningen innehåller, Brittiska inrikesministern Theresa May insisterar på att kritiker har blåst ut proportioner. -En Internetuppkoppling rekord är en rekord av en kommunikationstjänst att en person har använt, inte ett rekord av varje webbsida de har tillgång till. Det är helt enkelt den moderna motsvarigheten av en specificerad telefonräkning. -Ja, Men det är inte riktigt lika lugnande som hon tycker att det är. Och jag ska berätta varför. Först, jag vill inte att regeringen titta på min telefonsamtal heller. Och för det andra, en Internet webbhistorik är lite annorlunda från en specificerad telefonräkning. Ingen bort frenetiskt sin telefon faktura varje gång de avslutar ett samtal. [END SPELA] DAVID MALAN: Ett mönster framväxande hur jag förbereda mig för klassen. Det är bara att titta på TV i en vecka och se vad som kommer ut klart. Så att var också bara från förra natt på "Förra veckan Tonight". Så låt oss börja tala nu om några av försvaret. Faktum är att för något så här, där britterna föreslår att hålla en logg av detta slag av data, där kan det komma från? Tja, minns från pset sex, pset sju och pset åtta nu att insidan av de virtuella envelopes-- åtminstone för HTTP-- är meddelanden som ser ut så här. Och så det här meddelandet, är naturligtvis inte bara riktar sig till en viss IP-adress, som regeringen hit eller dit skulle säkert log. Men även insidan av detta hölje är ett uttryckligt omnämnande av domännamnet som är som besöks. Och om det är inte bara snedstreck, det kanske faktiskt vara en specifik filnamn eller en viss bild eller film eller, återigen, något av intresse för du kan vara säkert avlyssnas om alla av nätverkstrafik på något sätt som proxade genom statliga servrar, som redan sker i vissa länder, eller om det är typ av okända eller undisclosed avtal, som har hänt redan i detta land mellan vissa stora players-- Internetleverantörer och telefonbolag och den like-- och regeringen. Så roligt story-- sista gången jag valde badplace.com från toppen av mitt huvud som ett exempel på en skissartad webbplats, det gjorde jag inte faktiskt vet i förväg om inte det faktiskt ledde till en badplace.com. Tack och lov, den här domänen namn bara parkerade, och det gör faktiskt inte leda till en badplace.com. Så vi kommer att fortsätta att använda en för nu. Men jag höra att kunde ha backfire mycket dåligt just den dagen. Så låt oss börja nu prata om vissa försvar och vilka hål där kan även vara i dessa. Så lösenord är typen av go-att svara för många försvarsmekanismer, eller hur? Bara lösenordsskydda det, då som kommer att hålla motståndarna ut. Men vad innebär det egentligen? Så minns från hackare två, tillbaka om du tacklas that-- när du var tvungen att knäcka lösenord i en file-- eller ens i problem set sju, då vi ger dig ett prov SQL fil av några användarnamn och lösenord. Dessa var de användarnamn du såg, och dessa var hashes att vi utdelas för hacker upplagan av problem ställa in två. Och om du har undrat allt detta tid vad det faktiska lösenord var, detta är vad i själva verket, de dekryptera till, vilket du kunde ha knäckt i pset två, eller du kunde ha lekfullt tänkte dem i problembild sju. Alla av dem har några förhoppningsvis söt betydelse här eller i New Haven. Men den takeaway är att alla av dem, åtminstone här, är ganska kort, ganska gissa sig till. Jag menar, baserat på listan här, vilka är kanske det enklaste att knäcka, att räkna ut genom att skriva mjukvara som bara gissningar och kontroller, skulle du säga? PUBLIK: Lösenord. DAVID MALAN: Lösenord s ganska bra, eller hur? Och det är bara-- en, det är ett mycket vanligt lösenord. I själva verket, varje år finns det en lista över de vanligaste lösenorden i världen. Och citerar, unquote "lösenord" är i allmänhet ovanpå den listan. Två, det är i ett lexikon. Och ni vet från problem ange fem att det inte är att hard-- kan vara en lite tid consuming-- men det är inte så svårt att läsa en stor ordbok i minnet och sedan använda den för att sorts gissning och kontroll alla möjliga ord i ordlistan. Vad kan vara ganska lätt att gissa och kontrollera? Ja? PUBLIK: En upprepning av bokstäver. DAVID MALAN: Upprepningen av symboler och bokstäver. Så slags slags. Så i fact-- och vi kommer inte gå in i detalj här-- alla dessa saltades, som du kanske minns från problem set sju dokumentation. Några av dem har olika salter. Så du kan faktiskt slippa upprepning av vissa tecken helt enkelt genom saltning lösenorden på olika sätt. Men saker som 12345, det är en ganska enkel sak att gissa. Och ärligt talat, problemet med alla dessa lösenord är att de alla bara använder 26 möjliga tecken, eller kanske 52 med viss uppercase, och sedan 10 bokstäver. Jag tänker inte använda några funky tecken. Jag använder inte nollor för O: s eller de ty jag är eller L's eller-- om någon av er tror du är smart, men genom med en nolla för en O i ditt lösenord eller-- OK, jag såg någon leende. Så någon har en nolla för en O i hans eller hennes lösenord. Du faktiskt inte vara så smart som man kan tro, eller hur? För om mer än en av oss gör detta i room-- och jag har gjort sig skyldig till detta som well-- Tja, om allas typ att göra detta, vad motståndaren har att göra? Lägg bara till ettor och nollor och ett par other-- kanske fours för H's-- till hans eller hennes arsenal och bara ersätta dem bokstäver för uppslagsord. Och det är bara en ytterligare slinga eller nåt sånt. Så egentligen, bäst försvar för lösenord är något mycket, mycket mer slumpvis till synes då dessa. Nu, naturligtvis, hot mot lösenord ibland inkluderar e-post som. Så jag bokstavligen bara fick detta i min inkorg fyra dagar sedan. Detta är från Bretagne, som tydligen arbetar på harvard.edu. Och hon skrev till mig som en webbpostanvändaren. "Vi bara märkt att din e-post kontot inloggad på en annan dator på en annan plats, och du är att kontrollera din personliga identitet. " Så tematiska i många e-postmeddelanden som detta, vilket är exempel på nätfiske attacks-- p_H-I-S-H-l-N-G-- där någon försöker att fiska och få lite uppgifter ur dig, i allmänhet genom ett e-postmeddelande som denna. Men vad är några av de kontrollampa tecken på att detta är i själva verket inte, en legitim e-post från Harvard Universitet? Vad är det? Så dålig grammatik, den konstig kapitalisering, hur vissa bokstäver är aktiveras på vissa platser. Det finns vissa udda indrag i ett par ställen. Vad annars? Vad är det? Tja, som säkert helps-- den stora gula rutan som säger detta kan vara skräppost från Google, som är säkert bra. Så det finns en hel del kontrollampa tecken här. Men verkligheten är dessa e-post måste arbeta, eller hur? Det är ganska billigt, om inte gratis att skicka ut hundratals eller tusentals e-postmeddelanden. Och det är inte bara genom att skicka dem ur egen ISP. En av de saker som skadliga program tenderar att do-- så virus och maskar som av misstag infektera eller datorer eftersom de har skrivits av adversaries-- en av de saker de gör är bara pressa fram spam. Så vad det existerar i världen, i själva verket, är saker kallade botnets, vilket är ett fint sätt att säga att personer med bättre kodning färdigheter än den person som skrev att buggig version av programvaran, har faktiskt skrivit programvara att folk gillar oss aningslöst installera på våra datorer och sedan börja köra bakom kulisserna, varken oss. Och de malware program intercommunicate. De bildar ett nätverk, ett botnät om ni så vill. Och i allmänhet, den mest sofistikerade av motståndare har någon form av fjärrkontroll över tusentals, om inte tiotusentals, datorer genom att skicka ut ett meddelande på nätet att samtliga dessa robotar, så att säga, kan höra eller ibland begäran från någon central plats och sedan kan styras för att skicka ut spam. Och dessa spam saker kan vara bara säljs till högstbjudande. Om du är ett företag eller slags frans företag som egentligen inte bryr sig om sorts etik spamma dina användare men du bara vill slå ut en miljon människor och hoppas att en% av them-- som fortfarande ett icke-triviala antal av potentiell buyers-- du faktiskt kan betala dessa motståndare i den typ av svarta marknaden slags att skicka ut dessa spammar via deras botnät för dig. Så det räcker att säga, det är inte en särskilt övertygande e-post. Men även Harvard och Yale och liknande ofta göra misstag, att Vi vet från några veckor tillbaka att du kan göra en länk säga www.paypal.com. Och det ser ut som det går där. Men, naturligtvis, det egentligen inte göra det. Och så Harvard och Yale och andra har verkligen gjort sig skyldig under årens lopp skicka ut e-post som är legitima, men de innehåller länkar i dem. Och vi, som människor, har varit utbildas av typ av tjänstemännen, ganska ofta, faktiskt bara följa länkar som vi får i ett e-postmeddelande. Men inte ens det är den bästa praxis. Så om du någonsin får ett e-postmeddelande som this-- och kanske det är från Paypal eller Harvard eller Yale eller Bank of America eller like-- du bör ändå inte klicka länken, även om det ser legitim. Du bör manuellt skriva att URL själv. Och ärligt talat, är vad som systemadministratören bör berätta att göra så att vi inte luras till att göra detta. Nu, hur många av er, kanske genom att titta ner på din plats, har lösenord nedskrivna någonstans? Kanske i en låda i ditt studentrum eller kanske under-- i en ryggsäck någonstans? Plånbok? Nej? Publik: I en brandsäker Lockbox? DAVID MALAN: I en brandsäker Lockbox? OK. Så det är bättre än en klisterlapp på bildskärmen. Så visst, en del av du insisterar nej. Men något säger mig att är inte nödvändigtvis fallet. Så vad sägs om en enklare, troligare question-- Hur många av er använder samma lösenord för flera webbplatser? Åh, OK. Nu vi vara ärliga. Okej. Så det är underbara nyheter, eller hur? För om det betyder att om bara en av dem webbplatser du alla använder äventyras, Nu motståndaren har tillgång till uppgifter om du eller fler potentiella bedrifter. Så det är ett lätt att undvika. Men hur många av er har en ganska gissa sig till lösenordet? Kanske inte lika dålig som detta, men något? För några dumma plats, eller hur? Det är inte hög risk, inte har ett kreditkort? Alla vi. Precis, även jag har lösenord som är antagligen bara 12345, säkert. Så nu försöker logga in varje webbplats du kan tänka dig med malan@harvard.edu och 12345 och se om det fungerar. Men vi gör det också. Så varför? Varför så många av oss har antingen ganska enkla lösenord eller samma lösenord? Vad är den verkliga världen Skälet till detta? Det är lättare, eller hur? Om jag sade i stället, akademiskt, ni borde verkligen vara att välja pseudoslump lösenord som är minst 16 tecken långt och har en kombination av bokstäver, siffror och symboler, Vem fan går för att kunna göra det eller minns dessa lösenord, än mindre för varje och alla möjliga hemsida? Så vad är en hållbar lösning? Jo, en av de största hämtställen idag, Även pragmatiskt, skulle vara, ärligt talat, att starta använda någon form av lösenord manager. Nu finns det upsides och nackdelar av dessa saker, alltför. Det är två som vi tenderar att rekommendera i CS50. Ens kallat knapp 1Password. En heter Lastpass. Och några av er kanske redan använder dessa. Men det är i allmänhet en mjukvara som betyder underlättar generera stora pseudoslump lösenord som du kan omöjligen komma ihåg som en människa. Den lagrar dem pseudoslump lösenord i sin egen databas, förhoppningsvis på din lokala hårt drive-- krypterat ännu bättre. Och allt du, människan, måste komma ihåg, typiskt, är en huvudlösenord, som förmodligen kommer att bli superlång. Och kanske är det inte slumpmässiga tecken. Kanske är det, liksom, en mening eller en kort stycke som du kan komma ihåg och du kan skriva en gång om dagen för att låsa upp datorn. Så du använda en särskilt stor lösenord för att skydda och kryptera alla dina andra lösenord. Men nu är du i vana att använda programvara såhär att generera pseudoslump lösenord över alla webbplatser du besöker. Och faktiskt, jag kan bekvämt att säga nu, år 2015, Jag vet inte de flesta av mina lösenord längre. Jag vet att min huvudlösenord, och jag skriver att, omedvetet, en eller flera gånger per dag. Men uppåtsidan är att nu, i förekommande fall av mina en konton äventyras, det finns inget sätt någon är kommer att använda det kontot att komma in i en annan eftersom ingen av mina lösenord är samma längre. Och visst, ingen, även om han eller hon skriver kontradiktoriskt programvara att Brute force saker och antar att alla möjliga passwords-- oddsen att de kommer att välja mina 24-tecken långa lösenord är bara så, så låg jag bara inte orolig hotet längre. Så vad är trade-off här? Det verkar underbart. Jag är så mycket säkrare. Vad är trade-off? Ja? PUBLIK: Time. DAVID MALAN: Time. Det är mycket lättare att typ 12345 och jag är inloggad i förhållande till något som är 24 tecken eller en kort stycke. Vad annars? PUBLIK: Om någon bryter ditt huvudlösenord. DAVID MALAN: Ja. Så du typ av föränderliga hotbilden. Om någon gissar eller siffror ut eller läser Post-it note i din säkra fil valv, huvudlösenordet du har, nu allt äventyras varvid det tidigare var kanske bara ett konto. Vad annars? PUBLIK: Om du vill använda någon dina konton på en annan enhet och du behöver inte Lastpass [OHÖRBAR]. DAVID MALAN: Ja, det är typ av fångst, alltför. Med dessa verktyg, även om du inte har datorn och du är i, liksom, lite café eller du är på en väns hus eller en datorsal eller var och du vill logga in på Facebook, du vet inte ens vad din Facebook-lösenord är. Nu ibland, kan du minska detta genom att ha en lösning att vi ska tala om på bara ett ögonblick kallas tvåfaktorsautentisering vari Facebook kommer text som du eller kommer att skicka ett speciellt krypterat meddelande till din telefon eller någon annan enhet som du bär runt på din nyckelring med där du kan logga in. Men det är kanske irriterande om du är i källaren i vetenskapscentret eller någon annanstans här i New Haven campus. Du kanske inte har signal. Och så det är inte nödvändigtvis lösningen. Så det är verkligen en kompromiss. Men vad jag vill uppmuntra er att do-- om du går till CS50: s hemsida, vi faktiskt anordnad för den första av dessa företag för en site-licens, så att säga, för alla CS50 studenter så du behöver inte betala $ 30 eller så det normalt kostar. För Mac och Windows, kan du kolla in 1Password gratis på CS50: s hemsida, och vi kommer att koppla upp dig med det. Inse också att en del av dessa tools-- inklusive Lastpass i en av sina forms-- är molnbaserade, som Colbert säger, vilket innebär att dina lösenord är encryptedly lagras i molnet. Tanken där är att du kan gå till någon random person eller väns dator och logga in på ditt Facebook konto eller liknande eftersom du först gå till lastpass.com, få tillgång till ett lösenord, och sedan skriva in det. Men vad är hotbilden där? Om du lagrar saker i molnet, och du är åtkomst den webbplatsen på någon okänd dator, Vad kan din vän att göra till dig eller dina tangenttryckningar? OK. Jag ska vara manuellt framåt glider här på ut. Keylogger, eller hur? En annan typ av skadlig kod är en keylogger, som är bara ett program som faktiskt loggar allt du skriver. Så där också, är det förmodligen bättre att har några andra enhet som det här. Så vad är tvåfaktorsautentisering? Som namnet antyder, är det du har inte en utan två faktorer som autentisera till en webbplats. Så istället för att använda bara ett lösenord du har några andra andra faktorn. Nu, som i allmänhet är, en, faktor är något du vet. Så något typ av i ditt inre öga, som är ditt lösenord som du har memorerat. Men två, inte något annat att du vet eller har memorerat men något du fysiskt har. Tanken här är din hot inte längre kan vara någon slumpmässig person på internet som kan bara gissa eller räkna ut ditt lösenord. Han eller hon måste ha fysisk tillgång till något som du har, vilket fortfarande är möjligt och fortfarande, kanske, allt mer fysiskt hotfull. Men det är åtminstone en olika typer av hot. Det är inte en miljon namnlösa människor där ute som försöker komma åt dina data. Nu är det en mycket specifik person, kanske, att om det är ett problem, det är ett annat problem helt och hållet, liksom. Så som i allmänhet existerar för telefoner eller andra enheter. Och, faktiskt, Yale bara rullade ut det här i mitten av terminen sådan att detta inte påverkar folk i det här rummet. Men de av er efter tillsammans i New Haven vet att om du skulle logga i din yale.net ID, förutom att skriva ditt användarnamn och lösenord, du sedan uppmanas med detta. Och, till exempel, är detta en screenshot Jag tog i morse när jag loggade in på mitt Yale konto. Och det skickar mig motsvarande av ett textmeddelande till min telefon. Men i verkligheten, hämtade jag en app i förväg att Yale distribuerar nu, och jag måste nu bara skriva in kod som de skickar till min telefon. Men att vara tydlig, det Fördelen med detta är att nu, även om någon räknar ut min Yale lösenord, jag är säker. Det räcker inte. Det finns bara en nyckel, men jag behöver två för att låsa upp mitt konto. Men vad är nackdelen, kanske av Yale system? Och vi ska låta Yale vet. Vad är nackdelen? Vad är det? Om du inte har cell service eller om du inte har Wi-Fi för att du är bara i en källare eller något, du kanske inte kan få ut budskapet. Lyckligtvis i detta särskilda fall, Detta kommer att använda Wi-Fi eller något annat, som fungerar runt det. Men ett möjligt scenario. Vad annars? Du kan förlora din telefon. Du bara inte ha det. Batteriet dör. Jag menar, det finns ett antal av irriterande scenarier men möjliga scenarier som kan hända som gör du beklagar detta beslut. Och det värsta möjliga utfall, ärligt talat, då skulle vara för användarna att inaktivera denna helt och hållet. Så det finns alltid kommer att vara denna spänning. Och du måste hitta själv som användare slags sweet spot. Och för att göra detta, ta ett par konkreta förslag. Om du använder Google Gmail eller Google Apps, vet att om du går till denna URL här, kan du aktivera två-faktor autentisering. Google kallar det 2 tvåstegsverifiering. Och du klicka på Inställningar, och då du gör just detta. Det är en bra sak att göra, framför allt dessa dagar eftersom, tack vare cookies, du är inloggad nästan hela dagen lång. Så du sällan behöver Skriv ditt lösenord i alla fall. Så du kan göra det en gång vecka, en gång i månaden, en gång om dagen, och det är mindre av ett stort hantera än tidigare. Facebook, också har det. Om du är lite för löst med att skriva din Facebook-lösenord i vänner " datorer, åtminstone möjliggöra två-faktor autentisering så att den vännen, även om han eller hon har en knapptryckning logger, de kan inte komma in på ditt konto. Tja, varför är det? Det gick inte att de bara logga koden jag har skrivit in på min telefon att Facebook har skickat till mig? PUBLIK: [OHÖRBAR]. DAVID MALAN: Ja. Den väldesignade programvara kommer att ändra dessa koder som skickas till din telefon var några sekunder eller varje gång och så att, ja, till och med om han eller hon räknar ut vad din kod är, är du fortfarande säkert eftersom det kommer att ha löpt ut. Och detta är vad det ser ut som på Facebooks webbplats. Men det finns en annan metod helt och hållet. Så om dessa typer av avvägningar är inte särskilt lockande, en allmän princip inom säkerhet skulle vara, ja, bara åtminstone revisions saker. Inte typ av sätta ditt huvud i sand och vet aldrig om eller när du har äventyrats eller attackerad. Åtminstone inrätta någon mekanism som informerar dig direkt om något avvikande som hänt så att du åtminstone smal fönstret i tiden under där någon kan göra skada. Och detta, menar jag following-- vid Facebook, till exempel, Du kan slå på vad de kallar inloggnings varningar. Och just nu, jag har aktiverat e-post logga varningar men inte meddelanden. Och vad det betyder är att om Facebook meddelanden Jag har loggat in i en ny computer-- som jag inte har en kaka, det är en annan IP-adress, det är en annan typ av computer-- De kommer i detta scenario, skicka mig ett e-postmeddelande, hej, David. Ser ut som du har loggat in från en obekanta dator, bara FYI. Och nu mitt konto kan vara äventyras, eller min irriterande vän kan ha varit att logga in mitt konto nu publicera saker på min nyhetsfeed eller liknande. Men åtminstone den tid som jag är ovetande om att är super, super smal. Och jag kan förhoppningsvis svara. Så alla dessa tre, skulle jag säg, är mycket bra saker att göra. Vad är några hot som är lite svårare för oss slutanvändare för att skydda mot? Vet någon vad sessionskapning är? Det är en mer teknisk hot, men mycket välbekant nu när vi har gjort PSET sex och sju och nu åtta. Så ihåg att när du skickar trafik via Internet, ett par saker att hända. Låt mig gå vidare och logga in c9 eller CS50.io. Ge mig bara ett ögonblick logga in på mitt jHarvard konto. PUBLIK: Vad är ditt lösenord. DAVID MALAN: 12345.. Okej. Och här, vet att om jag går framåt och begära en bana page-- och under tiden, låt mig göra det här. Låt mig att öppna upp Chrome Inspector fliken och min nätverkstrafik. Och låt mig gå till http://facebook.com och rensa detta. Egentligen vet du vad? Låt oss gå till en mer bekant en-- https://finance.cs50.net och klicka på Enter och logga nätverkstrafik här. Så märker här, om jag ser i min nätverkstrafik, svar headers-- låt oss gå upp här. Response headers-- här. Så mycket första begäran om att jag skickats, vilket var för standardsidan, Det svarade med Dessa svarshuvuden. Och vi har pratat om saker som plats. Liksom, läget innebär omdirigeras till login.php. Men en sak som vi inte prata en enorm belopp om var rader som detta. Så det här är insidan av virtuella kuvert som är skickas från CS50 Finance-- versionen ni skrev, too-- till en användares dator eller stationär dator. Och detta sätter en cookie. Men vad är en kaka? Tänk tillbaka till vår diskussion om PHP. Ja? Ja, det är ett sätt att tala om webbplats att du fortfarande är inloggad. Men hur fungerar det? Tja, på att besöka finance.cs50.net, det ser ut som den servern att vi genomfört är att sätta en cookie. Och det cookie är konventionellt Ring PHPSESSID sessions-ID. Och du kan tänka på det som en virtuella handstamp på en klubb eller liknande, en nöjespark, en liten bit rött bläck som går på din hand så att nästa gång du besöker gate, du bara visa din hand, och bouncer vid dörren låter dig passera eller inte alls baserat på denna stämpel. Så den efterföljande begär att min webbläsare sends-- om jag går till nästa begäran och du ser på begäran rubriker, du kommer att märka mer grejer. Men det viktigaste är detta markerade partiet här-- inte satt kaka men kaka. Och om jag bläddra igenom var och en av dessa efterföljande HTTP-förfrågningar, varje gång jag skulle se en hand förlängs med exakt samma PHPSESSID, det vill säga detta är mechanism-- denna stora pseudoslump number-- att en servern använder för att upprätthålla illusionen PHP: s $ _SESSION föremål, i vilket Du kan lagra saker som användarens ID eller vad som finns i deras kundvagn eller ett antal andra delar av data. Så vad är innebörden? Tja, vad händer om det data krypteras inte? Och i själva verket är vi för bästa praktiken kryptera ganska mycket varenda en av CS50: s webbplatser dessa dagar. Men det är mycket vanligt dessa dagar för webbplatser fortfarande inte ha HTTPS vid början av URL. De är bara HTTP, kolon, slash slash. Så vad är innebörden där? Det betyder helt enkelt att alla dessa rubriker är inne i den virtuella kuvert. Och den som sniffar luften eller fysiskt fångar det paketet fysiskt kan titta inuti och se vad det cookie är. Och så sessionskapning är helt enkelt en teknik att en motståndare använder för att sniffa uppgifter i luften eller på någon trådbundet nätverk, titta in i denna kuvert, och se, oh. Jag ser att din cookie är 2kleu vad som helst. Låt mig gå vidare och göra en kopia av din hand stämpel och nu börja besöka Facebook eller Gmail eller vad jag själv och bara presentera exakt samma handstamp. Och verkligheten är, webbläsare och servrar är verkligen att naiva. Om servern ser samma kaka, dess syfte i livet bör vara att säga, oh, som måste vara David, som just loggat in lite sedan. Låt mig visa samma användare, förmodligen, David inkorg eller Facebook meddelanden eller något annat i vilken du loggas. Och det enda försvar mot som är att bara kryptera allt insidan av kuvertet. Och tack och lov, en hel del platser gillar Facebook och Google och liknande gör det nuförtiden. Men något som inte lämnar dig perfekt, helt sårbara. Och en av de saker du kan do-- och en av de trevliga funktioner, ärligt talat, av 1Password, programvaran Jag nämnde tidigare, är om du installerar det på din Mac eller PC, programvara, förutom att lagra din lösenord, kommer också varnar dig om du någonsin försöka logga in på en webbplats som är kommer att skicka ditt användarnamn och lösenord okrypterat och i den klara, så att säga. Okej. Så sessionskapning kokar ner till det. Men det är denna andra sätt som HTTP-huvuden kan användas för att dra nytta av oss. Och det är fortfarande slags ett problem. Detta är egentligen bara en förtjusande ursäkta att sätta upp Cookie Monster här. Men Verizon och AT & T och andra tog en hel del skottsäkra ett par månader tillbaka för injicering, unbeknownst till användare initialt, en extra HTTP-huvud. Så de av er som har haft Verizon Wireless eller AT & T-cell telefoner, och du har besökt webbplatser via din telefon, unbeknownst till dig efter din HTTP begäran lämna Chrome eller Safari eller vad på din telefon, gå Verizon eller AT & T: s router, de presumptuously under en längre tid har varit injicera en rubrik som ser som this-- en nyckel värdepar där nyckeln är bara X-UIDH för unik identifierare sidhuvud och sedan några stora slumpvärde. Och de gör detta så att de kan unikt identifiera alla dina webbtrafik till personer som får din HTTP-förfrågan. Nu, varför skulle Verizon och AT & T och liknande vill identifiera dig till alla webbplatser du besöker? PUBLIK: Bättre kundservice. DAVID MALAN: Better-- nr. Det är en bra tanke, men det är inte bättre kundservice. Vad annars? Reklam, eller hur? Så att de kan bygga upp ett annonsnätverk, förmodligen, där även om du har stängt av cookies, även om du har speciella programvara på din telefon som håller dig i inkognito mode-- ha. Det finns ingen inkognitoläge när mannen i middle-- bokstavligen, Verizon eller AT & T-- är att injicera ytterligare data över vilka du har ingen kontroll, och därmed avslöja vem du är till den som följer hemsida igen och igen. Så det finns sätt att välja bort detta. Men även här är något att ärligt talat, det enda sättet att driva tillbaka på detta är att lämna bäraren helt och hållet, inaktivera det om de tillåter även att du kan, eller, som skedde i det här fallet, göra en hel del krångel på Internet, att bolagen faktiskt svara. Detta är också bara en annan förtjusande tillfälle att visa detta. Och låt oss ta en titt på, låt oss säger, en eller två sista hot. Så vi pratade om CS50 Finance här. Så du kommer att märka att vi har denna söta liten ikon på inloggningsknappen här. Vad betyder det om jag istället använda denna ikon? Så innan, efter. Före efter. Vad betyder efter detta? Det är säkert. Det är vad jag vill att du ska tro. Men ironiskt nog, är det säkert eftersom vi har HTTPS. Men det är hur lätt det är att ändra något på en webbplats, eller hur? Ni vet alla en bit av HTML och CSS nu. Och i själva verket är det ganska lätt att-- och om du inte göra det-- att ändra ikon. Men detta är också vad företag har lärt oss att göra. Så här är en skärmdump från Bank av USA: s hemsida i morse. Och lägg märke till, en, de är lugna mig att det är en säker logga in uppe till vänster. Och de har också en hänglås på knappen, vilket innebär vad för mig, slutanvändaren? Verkligen ingenting, eller hur? Vad som däremot räknas är det faktum att det är den stora gröna URL upp topp med HTTPS. Men om vi zoomar in på detta, är bara som jag vet lite HTML och en bit av CSS, och sade: hey, min hemsida säker. Liksom, vem som helst kan sätta ett hänglås och Ordet säker inloggning på deras hemsida. Och det betyder verkligen ingenting. Vad betyder något är ungefär så här, där du kan se https: // att Bank of America har detta stor grön stapel, medan CS50 inte, bara innebär att de betalat flera hundra dollar mer att ha ytterligare verifiering gjort sin domän i USA så att webbläsare som följer denna standard kommer också visa oss lite mer än så. Så vi lämnar saker på det, skrämma dig lite mer inom kort. Men på onsdag, vi kommer att få sällskap av SCAZ från Yale för en titt på artificiell intelligens och vad vi kan göra med dessa maskiner. Vi kommer att se dig nästa gång.