[Грає музика] Девід Малан: Це CS50, і це початок тижня 10. І ви могли б пам'ятати про це Зображення від декількох тижнів тому коли ми говорили про Інтернет і як це насправді реалізований фізично. І ви, можливо, пам'ятаєте, що є насправді ціла купа кабелів а також бездротовий технології, які з'єднують всі вузли або маршрутизаторів і інших такі технології в Інтернеті. І багато що під водою. Що ж, виявляється, що ті, під водою кабелі трохи мети. І сьогоднішня лекція повністю про безпеку не тільки загрози, які всі ми стикаємося фізично, а й практично, а також, до хвостовий кінець Сьогодні, деякі з захистів що ми, як користувачі можуть фактично поклав на місце. Але спочатку, один з перших і мабуть, найбільш фізичне threat-- [ВІДТВОРЕННЯ ВІДЕО] Не могли б бути Росія планування напад на підводних кабелів які з'єднують глобальної мережі Інтернет? -росіян Кораблі і підводні човни приховану біля підводних кабелів які несуть майже всі в світі Інтернету. -The Весь Інтернет здійснюється уздовж цих кабелів. -По-Перше, те, що Інтернет робить під водою? Останній раз я перевірив, я не повинен отримати мій комп'ютер мокра. По-друге, якщо ви запитаєте мене, як Інтернет подорожує з континенту на континент, Я б сказав, супутники або лазери, або, чесно кажучи, Я б, напевно, просто сказав інтернет. І те, що відбулося в хмару? Мені сказали, що була хмара. Запам'ятати? Гей, давайте, що в хмарі. Це було схоже, що інтернет був пар інформації, що кола на Землю, і ваш комп'ютер був як ківш що зачерпнув, що вам потрібно. Але, виявляється, в Інтернеті насправді під водою бо ці кабелі перевозити більше 95% щоденних інтернет-комунікацій. І американські розвідувальні побоювання, що в періоди напруженості або конфлікту, Росія може вдатися до їх розриву. Це було б найбільшим порушення на ваш інтернет-сервіс так як ваш сусід зверху поставити пароль на свій Wi-Fi. ДОБРЕ? Спробуйте його ім'я собаки. [КІНЕЦЬ ПЕРЕГЛЯДУ] Девід Малан: Перш ніж ми звернемося до деякі з більш віртуальних загроз, пару оголошень. Так нашим друзям CrimsonEMS нині для вербування нових EMTs, Швидкої допомоги. І це насправді те Особливо близько до серця. Давним-давно, я пам'ятаю, в Ikea Незабаром після закінчення школи, насправді. І, як я виходив з магазину, це маленький хлопчик, який був у колясці почав повертати буквально синій. І він задихається від деякої частини їжі, було, ймовірно, застряг у горлі. І його мати була в паніці. Батьки навколо них були паніка. І навіть я, який був трохи знайомство з EMS тільки шляхом друзів, повністю завмер. І це був тільки завдяки чомусь як 15-річний рятувальник, який підбіг і насправді знав, що зробити інстинктивно і покликав на допомогу а насправді витягнув Хлопчик з колясці а насправді ім'я ситуацію. І для мене, це було поворотним моментом. І це було те, що в момент час, коли я вирішив, чорт візьми, Мені потрібно, щоб мій вчинок разом і насправді знаємо як реагувати на ці види ситуацій. І так я сам отримав ліцензію років тому в якості EMT. І через аспірантуру я їздити на машині швидкої допомоги Массачусетського технологічного інституту протягом деякого періоду часу, а так як з зберегли мою ліцензію. А насправді, й донині, все персоналу CS50 тут в Кембриджі насправді сертифіковані в КПП, а також, з аналогічних причин. Так що, якщо ви взагалі У цьому зацікавлені, є ніколи не буде достатньо часу в день, щоб взяти на себе щось нове. Але якщо ви хочете Новий рік дозвіл, не приєднатися до цих хлопців тут або розглянути питання про звернення до Червоний Хрест для сертифікації, або тут, або в Нью-Хейвені, а також. Тому минулого обід CS50 є в цю п'ятницю. Так що, якщо ви ще не приєдналися до нас, або якщо у вас є, і ви хочете ще раз, ходжу на веб-сайті CS50, щоб заповніть форму там. Знайте також, що наші друзі в Єльський професор Scassellati, виробляє штучний інтелект, штучний інтелект, серія для нас що почне дебют на цьому тижні на відео. Так, особливо якщо ви зацікавлені в досягненні остаточного проекту якось пов'язані з штучним інтелектом, обробки природної мови, навіть робототехніка, розуміють, що вони будуть бути прекрасним натхненням для цього. І тільки, щоб дати вам тизер це, ось сам Scaz. [ВІДТВОРЕННЯ ВІДЕО] -Один З дійсно здорово речі про комп'ютерної науки є те, що навіть з тільки Кілька тижнів дослідження, Ви збираєтеся бути в змозі зрозуміти багато з інтелектуальних артефактів і пристрої, які населяють наш сучасний світ. У цьому короткому відео серія, ми будемо дивитися на речі, як, як Netflix, здатний запропонувати і рекомендувати фільми що я міг би хотілося, як це те, що Сірі може відповісти на питання, які я маю, як це, що Facebook може визнати моє обличчя і автоматично позначати мені на фотографії, або як Google може побудувати автомобіль, який їздить на своїй власній. Так що я сподіваюся, що ви приєднаєтеся до мене за цей короткий серія відео, серія CS50 А.І .. Я думаю, ви побачите, що ви знаєте, набагато більше, ніж ви думали, що ви зробили. [КІНЕЦЬ ПЕРЕГЛЯДУ] Девід Малан: Так що ті, з'явиться на Сайт ході пізніше на цьому тижні. Залишайтеся з нами. І в той же час, деякі Анонси щодо того, що чекає попереду. Таким чином, ми тут. Це в нашій лекції про безпеку. У найближчу середу, Scaz і Енді, наша голова вчення хлопець у Нью-Хейвені, буде тут, щоб подивитися на штучний інтелект Сам для погляду на Обчислення communication-- як побудувати системи, які використовують Мова для спілкування з Еліза якщо ви знайомі з цим Програмне забезпечення від минулого, щоб Siri більше нещодавно, і Уотсон, який вам може знати з Jeopardy або тому подібне. Тоді наступного понеділка, ми не тут, в Кембриджі. Ми в Нью-Хейвені протягом секунди подивитися на штучний інтелект з Scaz і company-- AI супротивників в іграх. Так що, якщо ви коли-небудь грали проти комп'ютер в якійсь відео-ігри або мобільна гра або, як ми будемо говорити про те, як саме that-- побудувати супротивників для ігор, як представляти речі під капотом, використовуючи дерева від таких ігор, як хрестики-нулики шахів в реальному модерну відео ігри, а також. На жаль, вікторини одна незабаром після цього. Докладніше про те, що на CS50-х сайт в кінці цього тижня. І наш останній лекція в Єльському університеті буде в тому, що в п'ятницю після вікторини. І наш останній лекція в Гарварді буде в понеділок після того, за характером планування. І тому з точки зору етапів, крім PSET вісім з цьому тижні; Звіт про стан, які будуть Швидка перевірка розсудливість між вами і ваше вчення співробітник; Hackathon, що буде тут, в Кембриджі для студентів з Нью-Хейвен і Кембриджа так. Ми подбаємо про всіх перевезення з Нью-Гейвен. Здійсненні Остаточний проект буде через. А потім обох кампусах чи буде справедливим CS50 що дозволяє нам приймати погляд на й захвату в те, що все виконав. Насправді, я думав, що це буде хороший момент, щоб привернути увагу до цього пристрою тут, які ми використовували протягом деяку кількість часу тут, який є хорошим сенсорним екраном. А насправді, в минулому році ми мали $ 0,99 додаток що ми завантажили з додатку Windows, зберігати для того, щоб малювати на екрані. Але, чесно кажучи, це було дуже хаотичним. Це дозволило нам зробити на екраном, але було, як, багато ікон тут. Користувальницький інтерфейс був досить погано. Якщо ви хочете змінити деякі параметри, було тільки так багато прокляті кліків. І користувач interface-- або, що більш правильно, користувач experience-- було досить неоптимальним, особливо з використанням його в лекція середу. І тому ми звернулися до нашим другом У Microsoft, Бьорн, який насправді слідував разом з CS50 онлайн. І як його остаточний проект, по суті, зробив він дуже люб'язно прийняти деякий внесок від нас, як точно Особливості та досвід користувача ми хочемо. А потім він пішов про будівництво для Windows, це додаток тут що дозволяє draw-- oops-- і заклинання на the-- вау. Дякую. Щоб намалювати і написати на цьому екрані тут з дуже мінімальним користувача інтерфейсом. Таким чином, ви бачили мене, мабуть, натисніть на тут трохи, де ми зараз може підкреслити речі в червоний колір. Ми можемо перемикатися і тепер перейти до білих текстом тут. Якщо ми хочемо насправді видалити екран, ми можемо зробити це. І якщо ми насправді воліють Біле полотно, ми можемо зробити це. Так вона робить це жахливо мало дизайн і робить це добре. Так що я futz, сподіваюся, набагато менше в цьому році в класі. І спасибі, теж, щоб протеже його я носити сьогодні колечко. Це Бенджамін, який був інтернування з Бьорн цього літа. Так що це колечко. Це трохи більше, ніж мій звичайний кільця. Але через кілька набрати на сторона тут я можу насправді рухатися слайди ліворуч і праворуч, вперед і назад, а насправді просування речі бездротове, так що, один, я не маю щоб продовжувати йти назад до пробіл тут. І два, я не повинен мати один з тих дурних клікери і займати мою руку, утримуючи проклята річ весь час для того, щоб просто натисніть. І, звичайно, з часом, буде апаратний як це отримати супер, супер менше. Так звичайно, не соромтеся думати за межами коробки і робити речі, і створити речі, які навіть не існують ще для кінцевих проектів. Без зайвого галасу, погляд на те, що чекає як ви зануритися у вашій фінал проекти на CS50 Hackathon [ВІДТВОРЕННЯ ВІДЕО] [Грає музика] [Хропіння] [КІНЕЦЬ ПЕРЕГЛЯДУ] Девід Малан: Гаразд. Так кліпу Стівен Колберт що я показав тільки мить тому було насправді по телевізору всього кілька днів тому. І справді, кілька інших кліпів ми покажемо сьогодні неймовірно недавно. І справді, що говорить в реальність, яка так багато технологій і, чесно кажучи, багато ідей ми говорили про в CS50 насправді всюдисущий. І одна з цілей курс, безумовно, щоб озброїти вас з технічними навичками близько що ви можете вирішувати проблеми програмно, а два, так що ви можете зробити більш обгрунтовані рішення і приймати більш обгрунтовані рішення. І справді, протягом всієї тематичної натисніть і онлайн-відео та статті в ці дні просто страшно непорозуміння або відсутність розуміння того, як технологія працює, особливо серед політиків. І так насправді, трохи пізніше ми будемо погляньте на одному з цих деталей, так само. Але буквально тривати Ніч сиджу в Bertucci-х місцевий Франшиза італійської місце. І я стрибав на їх Wi-Fi. І мене дуже заспокоїло щоб побачити, що це безпечно. І я знав, що він говорить, бо тут "Безпечний Інтернет-портал" коли екран прийшов. Так що це було мало швидке що приходить в Mac OS або в ОС Windows при підключенні до мережу Wi-Fi, вперше. І я мав прочитати їх точки зору і, нарешті, умови і натисніть кнопку ОК. А потім мені дозволили продовжити. Отже, давайте почнемо переосмислити те, що всі це означає, і більше не буде потрібно для належне те, що люди говорять нам, коли ми стикаються з різними його технології. Так один, що це означає, що це безпечний інтернет портал? Що може Bertucci-х обнадійливою мені? Аудиторія: пакети, відправлені туди і назад в зашифрованому вигляді. Девід Малан: Добре. Пакети відправляються назад і вперед в зашифрованому вигляді. Це насправді так? Якби це було так, що б я потрібно зробити або що б я маю знати? Ну, ви побачите трохи значок замку в Mac OS або в Windows, кажучи, що є дійсно деякі шифрування або дертися відбувається. Але перш ніж ви можете використовувати зашифрований портал або Wi-Fi з'єднання, те, що Ви повинні, як правило, ввести? Пароль. Я не знаю такої пароль, ні я типу будь-який такий пароль. Я просто натиснув кнопку OK. Так що це абсолютно безглуздо. Це не є безпечним інтернет портал. Це 100% небезпечно інтернет-портал а. Там абсолютно шифрування не збирається на, і все, що робить його безпечним є те, що три слова фразу На екрані. Так що нічого не означає, обов'язково, технологічно. І ще трохи занепокоєння, якщо ви насправді ознайомитися з умовами та умовами, які є дивно читаним, був this-- "ви зрозуміти, що ми залишаємо за собою право увійти або контролювати трафік на стежать забезпечити ці умови ". Так що це трохи моторошно, якщо Bertucci-х спостерігає мій інтернет-трафік. Але саме, що будь-яка угода Ви сліпо натиснув через , Безсумнівно, сказав, що до. Отже, що ж насправді, що значить технологічно? Так що, якщо є якась моторошно хлопець чи дівчина в спині хто, як, моніторинг всі інтернет-трафіку, як же він або вона доступі що саме інформація? Які технологічні означає, через який що person-- або противник, більше generally-- може бути, дивлячись на наш трафік? Ну, якщо немає шифрування, те, що види речей вони могли понюхати, так би мовити, свого роду виявити в повітрі. Що б ви дивитися? Так? Аудиторія: пакети, що посилаються з вашого комп'ютера до маршрутизатора? Девід Малан: Так. Пакети, що посилаються комп'ютер до маршрутизатора. Таким чином, ви, можливо, пам'ятаєте, коли ми були в Нью-Хейвені, ми пройшли ті конверти, фізично, по всій аудиторії, щоб представити Дані збираються через Інтернет. І звичайно, якщо ми кидали їх через бездротове аудиторії щоб дістатися до місця призначення, кожен може зразок захопити його і зробити копію і насправді побачити, що всередині цього конверта. І, звичайно, те, що всередині цих конвертів будь-яке число речей, у тому числі IP-адреса що ви намагаєтеся доступу або ім'я хоста, як www.harvard.edu або yale.edu, що ви намагаєтеся доступ або взагалі щось ще. Крім того, шлях, too-- ви знаєте з PSET шостій, що всередині HTTP запитів які отримують слеш something.html. Так що, якщо ви відвідуєте конкретну сторінку, скачування конкретне зображення або відео, все, що інформація знаходиться всередині цього пакета. І тому всі, хто там у банку Bertucci в бути дивлячись на той самий даних. Ну, те, що деякі інші Загрози уздовж цих ліній бути уважними до перед вами просто почати приймати як факт що хтось, як Bertucci просто говорить тобі? Ну, це було article-- ряд статей який вийшов всього кілька місяців тому. Всі лють в ці дні ці новомодні інтелектуальні телевізори. Що таке Smart TV, якщо у Вас є чули про них або мають один в будинку? АУДИТОРІЯ: Інтернет-з'єднання? Девід Малан: Так, підключення до Інтернету. Так зазвичай, розумний телевізор є Телевізор з підключенням до Інтернету і дійсно дерьмово користувач інтерфейс, який робить важче насправді використовувати Інтернет тому що ви повинні використовувати, як до, вниз, вліво і вправо або щось на пульті дистанційного керування тільки доступ до речі, які так багато більш легко зробити на ноутбуці. Але більш тривожним про ТБ смарт, і телевізори Samsung в даному випадку, було те, що телевізори Samsung та інші в ці дні приходять з певною апаратної щоб створити те, що вони стверджують, є краще користувальницький інтерфейс для вас. Таким чином, одна, ви можете поговорити з деякі з ваших телевізорів в ці дні, не в відміну від Siri або будь-який з інші еквіваленти на мобільних телефонах. Таким чином, ви можете сказати, команди, як зміна каналу, підняти обсяг, вимкнути, або тому подібне. Але те, що імплікація того, що логічно? Якщо у вас є телевізор у вітальні кімната або телевізор біля підніжжя ліжку засинати, що імплікація? Так? АУДИТОРІЯ: Там може бути щось відбувається через механізм щоб виявити свою промову. Девід Малан: Так. АУДИТОРІЯ: Це може бути відправлені через Інтернет. Якщо це в незашифрованому вигляді, то вразливий. Девід Малан: Дійсно. Якщо у вас є мікрофон, вбудований в телевізор і його мети в житті тобто, за визначенням, слухати Вам і відповісти вам, це, безумовно, буде слухати все, що ви говорите а потім переводити, що деякі вбудовані інструкції. Але заковика в тому, що більшість з них Телевізори не повністю розумний себе. Вони дуже залежать від що підключення до інтернету. Так само, як Сірі, коли Ви говорите в телефон, швидко відправляє дані через що Інтернет до серверів компанії Apple, потім отримує назад відповідь, буквально це телевізор Samsung та їх еквіваленти просто відправивши все, що ви говорять у вашій вітальні або спальня для своїх серверах тільки виявити він сказав, увімкніть телевізор або вимкнути телевізор? І Бог знає, що ще може бути вимовлені. Тепер, є кілька способів для пом'якшення цього, вірно? Подобається те, що робить і що Сірі робить Google, а інші принаймні захисту від що ризик того, що вони слухати абсолютно все? Він повинен бути активований кажучи щось як, гей, Сірі, або привіт Google або т.п., або ОК, Google тощо. Але ми всі знаємо, що ті, вираження роду смоктати, чи не так? Як я був просто sitting-- насправді востаннє Я був в робочий час в Єлі, думаю, Джейсон або один з ТФ продовжував кричати, як, гей, Сірі, гей, Сірі і робить свій телефон зробити речі, тому що він був занадто проксимального до мого телефону. Але вірно зворотне, теж. Іноді ці речі просто удар, тому що це недосконале. І справді, природно мову processing-- розуміння формулювання, людині і то робити щось на основі it-- звичайно недосконала. Тепер, що ще гірше, деякі з вас, можливо, бачили або є телевізор, де ви можете зробити дурні або нью-ейдж подібні речі для перемикання каналів вліво або для зміни каналів вправо або зменшити гучність або збільшення гучності. Але те, що це означає телевізор має? Камера вказав на вас на всіх можливих часів. І справді, галас навколо Samsung Телевізори, для яких вони взяли деякий паблісіті є те, що якщо ви читаєте терміни і умови TV-- речі Ви, звичайно, ніколи не читав при розпакуванні Ваш телевізор в перший time-- вбудовані там було небагато обмовка кажучи еквівалент, A Ви не можете мати особистий розмови перед цим телевізором. І це те, що вона зводиться до. Але ви не повинні навіть повинні бути сказали, що. Ви повинні бути в змозі вивести з реальності що мікрофон і камера буквально вказуючи на мене весь час може бути, більш поганого, ніж хорошого. І, чесно кажучи, я кажу це кілька лицемірно. Я буквально, крім тих камер, У мене є крихітний камеру тут в моєму ноутбуці. У мене є ще один тут. У мене є в моєму Мобільний телефон з обох сторін. Так щоб я поклав його неправильний шлях, вони все ще може дивитися на мене і слухати мене. І все це може бути відбувається весь час. То що заважає мій iPhone або Android телефон робити це весь час? Як ми знаємо, що Apple, і деякі моторошно людина в Google, не слухаючи, щоб це дуже розмова по телефону або розмов У мене вдома або на роботі? АУДИТОРІЯ: Тому що наші життя не те, що цікаво. Девід Малан: Тому що наші життя не так цікаво. Це насправді правильну відповідь. Якщо ми не турбуєтеся про конкретну загрозу, є свого роду, хто піклується аспект до нього. Маленький старий мені не збирається щоб бути дійсно мета. Але вони, звичайно, міг. І тому, навіть якщо ви побачите деякі сирний речі на телевізори та кіно, як, ну, давайте звернемося на сітці і-- як Бетмен робить це багато, насправді, і насправді можна побачити Готем, що відбувається шляхом мобільних телефонів народної або тому подібне. Деякі з це трохи футуристичний, але ми значною мірою там в ці дні. Майже всі з нас ходити з GPS транспондерів, що є говорить Apple, Google і і все інше, що хоче, щоб знаю, де ми знаходимося в світі. У нас є мікрофон. У нас є камери. Ми говоримо речі, як Snapchat і інші додатки всі ми знаємо ,, всі їхні телефонні номери, всі їхні адреси електронної пошти. І так знову, один з винос сьогодні, сподіваюся, це, принаймні паузи трохи, перш ніж просто сліпо кажучи, ОК якщо ви хочете, зручність Snapchat знаючи, хто все з ваших друзів. Але і навпаки, тепер Snapchat знає, всі ви знаєте, і будь записочки ви могли зробили у ваших контактів. Так що це було своєчасним, занадто. Кілька місяців тому, Snapchat Сама не була скомпрометована. Але були деякі сторонніх додатків що зробили це простіше, щоб зберегти клацає І улов був що цією третьою стороною служби сам був скомпрометований, почасти тому, що служби Snapchat в підтримує функцію що вони, ймовірно не повинні, що дозволило це архівування третьою стороною. І проблема в тому, що архів з, як, 90000 знімків, думаю, в кінцевому підсумку були скомпрометовані. И так Ви могли б зайняти деяку втіху в речі, як Snapchat бути ефемерним, вірно? Ви повинні сім секунд, щоб дивитися на що недоречно повідомлення або примітка, і потім він зникає. Але, більшість з вас ймовірно з'ясували як взяти скріншоти тепер, що це найпростіший спосіб, щоб обійти це. Але два, там нічого не зупиняючи компанія або людина знаходиться на Інтернет перехоплення, що Дані, потенційно, а також. Так що це було буквально просто день чи два тому. Це був хороший заголовок статті на сайт в Інтернеті. "Черв'як Епічна Fail-- харчування Вимагачів Випадково Знищує Даних про потерпілих під час шифрування ". Так що інший розірвав від Заголовки добрі речі тут. Таким чином, ви, можливо, доведеться чув шкідливих програм, які злісно software-- так погано програмне забезпечення що люди із занадто багато вільного часу написати. А іноді, він просто робить дурні речі, як видаляти файли або розсилати спам або тому подібне. Але іноді, і частіше, це більш складний, вірно? Ви всі знаєте, як плескатися в шифрування. І Цезар і Vigenere не супер безпечним, але є інші, звичайно, які є більш складними. І так, що це противник зробив був написав шматок шкідливого щось заражений купа комп'ютерів людей. Але він був добрий ідіот і написав баггі версію цієї шкідливої ​​програми таким чином, що, коли він або вона реалізований code-- ой, ми отримую багато of-- вибачте. Ми отримуємо багато парад на мікрофоні. ДОБРЕ. Так що проблема в тому, що він або вона пише погані код. І таким чином вони генеруються псевдовипадково ключ шифрування з якою для шифрування чиїсь дані зловмисно, а потім випадково кинув від ключа шифрування. Так ефекту це шкідливі програми не за призначенням, викуп чиїхось даними шифрування його або її жорсткий диск а потім очікували $ 800 США в обмін ключ шифрування, після чого жертва може розшифрувати свої дані. Швидше за все, хлопець просто погано зашифровані всі дані на жорсткому диску, випадково видалений ключ шифрування, і не отримав гроші з нього. Але це також означає, що жертва дійсно жертва, тому що тепер він чи вона не може відновити будь-які дані, якщо тільки вони насправді є стара школа резервне копіювання нього. Так ось теж свого роду реальності що ви будете читати про ці дні. І як ви можете захистити проти цього? Ну, це в цілому може черв'яків, що не каламбур, про вірусів і черв'яків тощо. І там, звичайно, програмне забезпечення за допомогою якого можна захистити себе. Але краще, ніж це просто бути розумним про це. Насправді, я haven't-- це один з це зробити, як я кажу, а не як я роблю речі, perhaps-- я насправді не використовується антивірусне програмне забезпечення в роки тому що, якщо ви, як правило знають, що шукати, ви можете захистити проти більшості все на свій розсуд. А насправді, своєчасне тут Harvard-- там була помилка або проблема минулого тижня, де Гарвардський явно, як, моніторингу багато мережевого трафіку. А ви все ще відвідавши веб-сайт CS50 в можливо, отримали попередження приказка що ви не можете відвідати цей сайт. Це не безпечно. Але якщо ви намагалися відвідування Google або інші сайти, занадто, ті теж були придушені. Це тому, що Гарвард, теж має яка система фільтрації що стежить на потенційно шкідливі веб-сайти щоб допомогти захистити нас від нас. Але навіть ті речі, явно недосконалим, якщо не глючить, самі. Так here--, якщо вам цікаво, я буду залишити ці слайди до online-- є поточна інформація що супротивник дав. І він або вона просячи в bitcoin-- який є віртуальним currency-- $ 800 США насправді розшифрувати ваші дані. На жаль, ця було повністю зірвано. Так що тепер ми будемо дивитися на щось більш політичний характер. І знову, мета тут щоб почати думати про те, як Ви можете зробити більш обгрунтовані рішення. І це щось відбувається в даний час у Великобританії. І це було чудово слоган зі статті про це. Великобританія вводить, а Ви побачите, новий спостереження Законопроект в результаті чого Великобританія пропонує контролювати всі британці роблять протягом одного року. І потім дані викидається. Цитата, кінець цитати "Це буде служити тиранії добре ". Отже, давайте поглянемо з друг пан Кольбера. [ВІДТВОРЕННЯ ВІДЕО] Вітальний, ласкаво просимо, ласкаво просимо щоб "Останній тиждень Tonight." Спасибі так багато для приєднатися до нас. Я Джон Олівер. Просто час для швидкої повторення тижні. І почнемо ми з Великобританії, Мері Чарівне Королівство Землі. На цьому тижні, дебати були бушує над там протягом спірного нового закону. -The Британський уряд Відкриття нових законів спостереження що значно продовжити свою владу стежити за діяльністю людей онлайн. -Theresa Травні називає це ліцензія на експлуатацію. Інші називають це Статутний Snooper, В не вони? Ну, тримайся because-- Snooper-х Статутний не є правильним фраза. Це звучить як Угода восьмій-річний є змусили підписати обіцяючи нокаутувати перш ніж він потрапляє спальню батьків. Декстер, увійдіть статут цього SnOOPer або ми не можемо нести відповідальність за те, що Ви могли б бачити. Цей законопроект може потенційно написати в закон величезний вторгнення в приватне життя. -Під Планів, список сайтів відвідали кожної людини у Великобританії буде записуватися протягом року і може бути доступні для поліції і безпеки послуги. -Це Зв'язки Дані не розкриває точна веб-сторінки ви дивилися, але було б показати сайт він був включений. -ДОБРЕ. Так що не було зберігати Точне сторінка, тільки сайт. Але це ще багато інформації. Наприклад, якщо хтось відвідав orbitz.com, ви б знали, що вони були думати про приймаючи поїздку. Якщо вони відвідали yahoo.com, ви б знаю, що вони просто переніс інсульт і забув слово "Google". І якщо вони відвідали vigvoovs.com, ви знаєте, що вони роговий і їхнім ключовим Б не працює. І все ж для всіх радикальних Повноваження законопроект містить, Міністр внутрішніх справ Тереза ​​Мей наполягає на тому, що критики підірвали його пропорції. -An Запис підключення до інтернету є запис служби зв'язку що людина використовувала, не рекорд з кожної веб-сторінки вони зверталися. Це просто сучасний еквівалент з деталізованого рахунку за телефон. -Так, Але це не зовсім так обнадіює, як вона думає, що це. І я скажу вам, чому. По-перше, я не хочу, щоб уряд дивлячись на мої телефонні дзвінки небудь. І по-друге, Інтернет Історія перегляду трохи відрізняється від детальний телефонний рахунок. Немає одним запекло не видаляє їх телефон Законопроект кожен раз, коли вони закінчити виклик. [КІНЕЦЬ ПЕРЕГЛЯДУ] Девід Малан: Шаблон з розвивається про те, як підготуватися до класу. Це просто, щоб дивитися телевізор протягом тижня і подивитися, що вийде, ясно. Так що, теж був тільки від останнього вночі на "останній тиждень Tonight." Так давайте почнемо зараз говорити про деякі з оборони. Справді, щось як це, де британців пропонують вести журнал такого роду даних, де може бути це з? Ну, пам'ятаєте з PSET шостій, PSET сім, і вісім у даний час PSET що всередині цих віртуальних envelopes-- принаймні HTTP-- повідомлення, які виглядають, як це. І так це повідомлення, Звичайно, це не тільки ім'яконкретного IP-адреси, які уряд тут чи там безумовно, може увійти. Але навіть всередині цього конверта явну згадку про доменне ім'я який відвідують. А якщо це не просто слеш, він може насправді бути певне ім'я файлу або конкретний образ або фільм або, знову ж, що-небудь в Інтерес до вас міг бути перехоплена, якщо, звичайно, всі мережевого трафіку якимось чином бути проксі через урядові сервери, як уже відбувається в деяких країни, або, якщо є є свого роду невідомі або не вказано угоди, як це сталося вже в цьому Країна між певної великої players-- Інтернет-провайдери та телефонні компанії та like-- і уряд. Так смішно story-- останній раз, коли я вибрав badplace.com з верхньої частини моєї голови Як приклад схематичний сайт, я насправді не Ветеринар заздалегідь чи ні, що насправді призвело до badplace.com. На щастя, цей домен ім'я просто на стоянці, і насправді не призвести до badplace.com. Таким чином, ми будемо продовжувати використовувати, що один зараз. Але я сказав, що міг би неприємні наслідки дуже погано, що конкретний день. Так давайте почнемо тепер поговоримо про деякі оборона і те, що там дірки може бути навіть у тих. Тобто, паролі начебто йти до відповісти для багатьох захисних механізмів, вірно? Просто захистити його паролем, то що триматиме супротивників з. Але що це насправді означає? Так, пам'ятаєте з хакера два, назад, якщо ви вирішувати that--, коли ви були зламати паролі в file-- або навіть в задачі встановити сьомій, коли ми даємо вам зразок SQL Файл деяких імен користувачів і паролів. Це були імена ви бачив, і це були хеши що ми роздали для Хакер видання проблеми встановіть два. І якщо Вам не цікаво, все це Час, що фактичні паролі були Це те, що, насправді, вони розшифрувати, щоб, що ви могли б тріщини в PSET двох або ви могли б грайливо зрозумів їх в проблемі встановити сім. Всі вони мають деякі, сподіваюся, мило сенс тут або в Нью-Хейвені. Але в тому, що винесення всі з них, принаймні тут, досить короткий, досить угадиваеми. Я маю на увазі, на основі списку тут, які, можливо, найпростіший зламати, щоб з'ясувати, в письмовій формі програмне забезпечення, яке тільки припущення і перевіряє, б ви сказали? АУДИТОРІЯ: Пароль. Девід Малан: Пароль-х досить добре, чи не так? І це просто-- одним, це дуже загальний пароль. Насправді, кожен рік є список найбільш поширені паролі в світі. І цитата, кінець цитати "пароль" як правило, на вершині цього списку. По-друге, це в словнику. І ви знаєте, з завдання встановити п'ять, що це не що hard-- може бути мало часу consuming-- але це не так складно, щоб завантажити великий словник в пам'яті і потім використовувати його для роду здогадки та перевірки всі можливі слова в словнику. Що ще може бути досить Легко здогадатися, і перевірити? Так? Аудиторія: повторення букв. Девід Малан: Повторення символів і букв. Так начебто роду. Так, в fact-- і ми не будемо вдаватися в детально here-- всі з них були солоні, які ви, можливо, пам'ятаєте з Проблема встановити сім у документації. Деякі з них мають різні солі. Таким чином, ви могли фактично уникнути повторення певних символів, просто шляхом соління паролів по-різному. Але такі речі, як 12345, це досить легка річ, щоб здогадатися. І, чесно кажучи, проблема з усіма з цих паролів є те, що вони все тільки за допомогою 26 Можливі значення, чи, може бути 52 з якоюсь верхній регістр, а потім 10 букв. Я не використовую будь незрозумілі символи. Я не використовую нулі виходів або ті бо Я Або L'и ілі--, якщо кожен з вас думаю, ви лукавить, хоча, за маючи нуль для виведення в свій пароль ілі-- ОК, я бачив когось посмішка. Так хтось має нуль для ущільнювальне в його або її пароль. Ви насправді не будучи в розумний, як ви могли б подумати, чи не так? Тому що, якщо більш ніж один з США роблять це в room-- і я був винен у цьому, як well-- Ну, якщо кожного роду робить це, що ж супротивник повинен зробити? Просто додайте нулі і одиниці і пара other-- можливо рачки по H's-- його або її Арсенал і просто замінити тих, літери для слів зі словника. І це тільки додатковий цикл або щось подібне. Так на Насправді, найкраще захист паролів щось багато, багато іншого випадкових, здавалося тоді ці. Зараз, звичайно, загрози проти паролів іноді включають листи, як, що. Так що я буквально тільки що отримав це у своїй поштовій скриньці чотири дні тому. Це з Бретані, який мабуть, працює на harvard.edu. І вона написала мені, як веб-пошти користувачів. "Ми просто зауважив, що ваша електронна пошта рахунок був зареєстрований на іншому комп'ютері в іншому місці, і ви, щоб переконатися, Ваш персональний код. " Так тематичних в багатьох листів, як це, які є прикладами фішингу attacks-- Р-Н-І-С-Н-І-Н-G-- де хтось намагається ловити рибу, і отримати деякі Інформація з вас, як правило, за допомогою електронної пошти, як це. Але те, що деякі з Telltale ознаки того, що це не так, насправді, законним електронної пошти від Гарвардський університет? Що це? Так погано, граматика, то дивно капіталізація, деякі букви капіталізуються в певних місцях. Там якась дивно відступ в декількох місцях. Що ще? Що це? Ну, що, безумовно, helps-- великий жовтий ящик що говорить, що це може бути від спам Google, що, безумовно, корисно. Таким чином, є багато явні ознаки тут. Але реальність така, ці листи повинні працювати, вірно? Це досить дешево, якщо не безкоштовно, щоб відправити з сотень або тисяч електронних листів. І це не просто відправивши їм зі свого власного провайдера. Одна з речей, які шкідливих програм має тенденцію do-- так віруси і черв'яки, які випадково заразити комп'ютери або тому, що вони була написана adversaries-- однією з що вони роблять тільки у великій кількості спаму. Так що там існує у світі, насправді, речі звані ботнети, який є химерним способом сказати що люди з більш кодування навички, ніж людина, яка писав, що баггі версію програмного забезпечення, фактично написано програмне забезпечення що люди, як і ми, нічого не підозрюючи встановити на наших комп'ютерах а потім почати працювати за сцени, без відома нам. А ті, шкідливі програми Програми повідомляються. Вони утворюють мережу, ботнет, якщо ви будете. І взагалі, самий складні супротивників має якийсь контроль над віддаленим тисячі, якщо не десятки тисяч, комп'ютерів, просто відправивши з повідомлення в інтернеті що всі ці ботів, так би мовити, здатні чути або іноді запит від деякій центральній сайті, а потім можна управляти для розсилки спаму. І ці спам речі можуть бути тільки що продав на торгах. Якщо ви компанія або свого роду бахромою компанії що насправді не дбають про Сортувати етики спам користувачам але ви просто хочете, щоб вдарив мільйона чоловік і сподіваємося, що 1% them-- який досі нетривіальна номер потенційного buyers-- Ви можете насправді платити ці супротивників в той чорному ринку сортів відправити ці спам за допомогою своїх ботнетів для вас. Так досить сказати, що це не особливо переконливим електронній пошті. Але навіть Гарвард і Єльський і т.п. часто помилятися, в тому ми знаємо, від декількох тижнів назад, що ви можете зробити посилання сказати www.paypal.com. І, схоже, вона йде там. Але, звичайно, це насправді не робити. І так Гарвардський і Єльський й інші мають звичайно, був винен протягом багатьох років у відправці електронні листи що є законними, але вони містять гіперпосилання на них. І ми, як люди, були навчені роду чиновників, досить часто, насправді просто дотримуйтесь посилання, які ми отримуємо по електронній пошті. Але навіть це не краща практика. Так що якщо ви коли-небудь по електронній пошті, як this-- і, можливо, це через Paypal або Гарвардський або Єльський або Банк Америки або like-- ви все одно повинні не натискайте посилання, навіть якщо це виглядає законним. Ви повинні вручну ввести що URL самостійно. І, чесно кажучи, ось що системний адміністратор повинен говорити з нами, щоб зробити так, щоб ми не обдурили в цьому. Тепер, як багато хто з вас, можливо, дивлячись вниз на вашому місці, вже паролі записані де-небудь? Може бути, в ящику у вашому номері або в гуртожитку може бути, under-- в рюкзаку десь? Гаманець? Немає? АУДИТОРІЯ: У вогнетривкій сейфі? Девід Малан: у вогнетривкій сейфі? ДОБРЕ. Так що краще, ніж замітка на вашому моніторі. Так звичайно, деякі з Ви наполягаючи немає. Але щось підказує мені, що це не обов'язково так. Так як про простий, швидше за все, question-- як багато з вас, використовуючи той же пароль для кількох сайтів? О, добре. Тепер ми повинні бути чесними. Добре. Так ось прекрасна новина, вірно? Тому що, якщо це означає, що якщо тільки один з тих, сайти ви всі використовують скомпрометована, Тепер супротивник має доступ до більш даних про вас або більше потенційних експлойтів. Так от легким, щоб уникнути. Але як багато з вас мають досить угадиваеми пароль? Може бути, не так погано, як це, але щось? За якоїсь дурної сайті, вірно? Це не високого ризику, не мати кредитну карту? Всі з нас. Мовляв, навіть у мене є паролі, які є, ймовірно, просто 12345, впевнено. Так що тепер спробуйте увійти в кожен веб-сайт Ви можете думати про з malan@harvard.edu і 12345 і подивитися, якщо це працює. Але ми робимо це, теж. Так чому? Чому так багато з нас мають досить небудь легко паролі або ті ж паролі? Що в реальному світі обгрунтування для цього? Це простіше, вірно? Якщо я замість сказав, академічно, ви, хлопці, повинно бути дійсно вибирають псевдовипадкових паролі, довжиною не менше 16 символів і мають поєднання букв алфавіту, цифри і символи, хто, чорт візьми, щоб бути в змозі зробити це, або пам'ятаєте ці паролі, не кажучи вже про всіх і всілякі сайт? Так що життєздатне рішення? Ну, один з великий винос сьогодні, теж прагматично, буде бути, чесно кажучи, щоб почати з допомогою якоїсь менеджер паролів. Тепер, є розквитатися і мінуси цих речей теж. Ці два, що ми як правило, рекомендується в CS50. One назвав кнопку 1Password. Один називається LastPass. І деякі з вас, можливо, використовувати їх вже. Але це взагалі частина програмного забезпечення, що зовсім полегшити генерації великий псевдовипадкових паролі, які ви не може згадати, як людина. Він зберігає ці псевдовипадковий паролі у власній базі даних, сподіваюся, на локальному жорсткому drive-- зашифрованому вигляді, ще краще. І все ти, людино, повинні пам'ятайте, Як правило, це один майстер-пароль, який ймовірно, буде дуже довгим. І, може бути, це не випадковий набір символів. Може бути, це, начебто, пропозицію або короткий параграф, що ви можете згадати і ви можете ввести один раз на день щоб розблокувати комп'ютер. Таким чином, ви використовуєте особливо багато пароль для захисту і шифрування всі ваші інші паролі. Але тепер ви знаходитесь в Звичка за допомогою програмного забезпечення як це, щоб генерувати псевдовипадковий паролі для всіх веб-сайтів Ви відвідуєте. І справді, я можу зручно сказати зараз, в 2015 році, Я не знаю, що більшість з мої паролі більше. Я знаю, що мій майстер-пароль, і я друкую, що несвідомо, один або кілька разів на день. Але з ніг, що тепер, якщо з моїх рахунків одного скомпрометований, Не існує способу хтось не є збираєтеся використовувати цей обліковий запис щоб потрапити в інший, тому що ніхто з мої паролі ж більше. І звичайно, ніхто, навіть якщо він або вона пише змагальності програмне забезпечення грубої сили і речі думаю, всі можливі passwords-- ймовірність того, що вони збираються вибирати свої 24-символьні паролі довгі просто так, так низько я просто не стурбовані цією загрозою більше. Так що компроміс тут? Це, здається, чудово. Я так набагато безпечніше. Що компроміс? Так? АУДИТОРІЯ: Час. Девід Малан: Час. Це набагато простіше введіть 12345 і я увійшли в порівнянні з чимось, що це 24 символів або абзаців. Коротше Що ще? АУДИТОРІЯ: Якщо хтось порушує Ваш майстер-пароль. Девід Малан: Так. Таким чином, ви свого роду зміни сценарій загрози. Якщо хтось вгадує або цифри з або читає пост це до відома в захищеному сховище файлів, майстер-пароль у вас є, тепер все знаходиться під загрозою в результаті чого раніше він був, можливо, тільки один аккаунт. Що ще? АУДИТОРІЯ: Якщо ви хочете використовувати будь з ваших облікових записів на іншому пристрої і ви не повинні LastPass [нерозбірливо]. Девід Малан: Так, це вид улову, теж. За допомогою цих інструментів, також, якщо Ви не повинні комп'ютер і ви перебуваєте в, як, кілька кафе, або ви в будинку одного або комп'ютерна лабораторія або там, де ви хочете, і увійти в Facebook, Ви навіть не знаєте, що пароль Facebook є. Тепер Ви іноді можете пом'якшити це за допомогою розчину що ми будемо говорити в мить називається двофакторної аутентифікації в результаті чого Facebook буде текст, який ви або пошле спеціальний зашифрований повідомлення на свій телефон або який-небудь інший Пристрій, який ви носите навколо на брелок з які ви можете увійти. Але це, мабуть, дратує, якщо ви в підвалі наукового центру або в іншому місці тут в кампусі Нью-Хейвені. Ви не могли б мати сигнал. І так, що це не обов'язково рішення. Так що насправді компроміс. Але те, що я хотів би закликати вас, щоб do--, якщо ви йдете на сайт CS50, в ми насправді організував перший з ці компанії для сайту ліцензії, так би мовити, для всіх студентів CS50 так що вам не доведеться платити $ 30 або так він зазвичай коштує. Для комп'ютерів Mac і Windows, ви можете перевірити 1Password безкоштовно на сайті CS50 для, і ми гачок вас з цим. Зрозумійте також, що деякі з це tools-- в тому числі LastPass в одному з його forms-- є хмара основі, а Колберт каже, що означає, що ваші паролі які encryptedly зберігаються в хмарі. Ідея є те, що ви можете піти в деякі випадкова людина або комп'ютер одного і увійти в свій Facebook рахунку або, як тому що ви спочатку піти lastpass.com, доступ пароль, а потім введіть його в. Але те, що сценарій загрози потрапити? Якщо ви зберігаєте речі у хмарі, і ви доступ до цих веб-сайт на якійсь невідомій комп'ютері, що може бути ваш друг робить до вас або ваших клавіш? ДОБРЕ. Я буду вручну просуванні ковзає тут на. Keylogger, вірно? Інший тип шкідливих програм це кейлоггер, який це просто програма, яка насправді реєструє все, що ви друкуєте. Так що, теж, напевно, краще, щоб є вторинне пристрій, як це. Так що двофакторна аутентифікація? Як і передбачає назва, це у вас є не один, а два фактори, з яким для аутентифікації на веб-сайт. Таким чином, замість використання тільки пароль, у вас є інші другого чинника. Тепер, що в загальному випадку, один, фактором є те, що ви знаєте. Так щось подібне в думкою, що пароль, які ви запам'ятали. Але два, не те ще що ви знаєте або запам'ятали але те, що ви фізично мати. Ідея тут у тому, більше ваша загроза не може бути якийсь випадковий чоловік в Інтернеті, який можна просто думаю, або з'ясувати ваш пароль. Він або вона повинен мати фізичний доступ до чогось, що ви є, який все ще можливо і досі, можливо, все більш загрозливою фізично. Але це принаймні, різного роду погрози. Це не мільйон безіменні люди там намагаються отримати доступ до ваших даних. Тепер це дуже специфічна людина, може бути, що якщо це проблема, це Ще одна проблема в цілому, а також. Так що в цілому існує для телефонів і інших пристроїв. І справді, Єльський закотив це з середини семестру такі що це не впливає на люди в цій кімнаті. Але ті з вас після поряд в Нью-Хейвені знаю, що якби ви увійти у вашому yale.net ID, на додаток до Вдрукувати ім'я користувача та пароль, Ви тоді запропоновано з цим. І, наприклад, це Я взяв сьогодні вранці Скріншот коли я увійшов у свій аккаунт Єльського. І він посилає мені еквівалент текстове повідомлення на свій телефон. Але насправді, я скачав додаток заздалегідь, що в даний час Єльський розподіляє, і я повинен тепер просто введіть у код, який вони посилають на мій телефон. Але було ясно, Верх цього є те, що в даний час, навіть якщо хтось з'ясовує мій Єльського пароль, я в безпеці. Це не досить. Ось тільки один ключ, але я потрібно дві розблокувати свій аккаунт. Але те, що зворотний бік, можливо, системи Єля? І ми дамо Єльського знаю. Що недолік? Що це? Якщо ви не користуєтеся послугами клітин або якщо ви НЕ Wi-Fi доступ, тому що ви тільки в підвалі або щось, ви не може бути в змозі отримати повідомлення. На щастя, в даному конкретному випадку, це буде використовувати Wi-Fi або щось ще, який працює навколо нього. Але можливий сценарій. Що ще? Ви можете втратити свій телефон. Ви просто не мають його. Батарея вмирає. Я маю на увазі, є ряд дратує сценарії але можливі сценарії, що може трапитися які роблять вас шкодувати про це рішення. І найгірше результат, чесно кажучи, то буде для користувачів відключити це взагалі. Так що завжди буде бути цю напругу. І ви повинні знайти для себе в якості користувальницького роду солодкий місці. А для цього, взяти пару конкретних пропозицій. Якщо ви використовуєте Google Gmail або Служб Google, знаю, що якщо ви йдете в цьому URL тут, Ви можете включити двухфакторную аутентифікації. Google називає це 2-х ступінчастий перевірка. І ви клацніть Настройка, то ви саме це і роблять. Це гарна річ, щоб зробити, особливо в ці дні, тому що, завдяки печиво, Ви увійшли в майже весь день. Таким чином, ви рідко доводиться введіть пароль у будь-якому випадку. Таким чином, ви могли б зробити це один раз в тиждень, раз на місяць, раз на день, і це менше великий справа, ніж торік. Facebook, теж має це. Якщо ви трохи занадто вільно з введенням пароль Facebook у друзі " комп'ютери, принаймні, дозволить двухфакторной аутентифікації, так що це друг, навіть якщо він або вона має натискання клавіші реєстратор, вони не можуть отримати у вашій облікового запису. Ну, чому ж? Хіба вони просто реєструємо Код я набрав в на моєму телефоні що Facebook послав мене? АУДИТОРІЯ: [нерозбірливо]. Девід Малан: Так. Добре розроблене програмне забезпечення зміниться ці коди , Які відправляються на ваш телефон кожні кілька секунд або кожен раз, і так, що, так, навіть якщо він або вона з'ясовує те, що ваш код, ви як і раніше безпечно, тому що це буде вже минули. І це те, що він виглядає як на сайті Facebook. Але є й інший підхід у цілому. Так що, якщо ці види компромісів не дуже заманливо, загальний принцип безпеки буде бути, ну, просто, принаймні аудиторські речі. Не вид покласти голову в пісок і просто не знаєте, якщо або коли Ви були скомпрометовані або нападу. Принаймні, створити якийсь механізм який інформує вас миттєво щось аномальне відбулося так що ви, принаймні вузька вікно часу, протягом які хтось може завдати шкоди. І це, я маю на увазі following-- на Facebook, наприклад, Ви можете включити, що вони називають оповіщення входу. І зараз, я включений електронну пошту увійдіть повідомлення, але не повідомлення. І що це означає, що якщо Facebook повідомлень Я увійшов у новий computer-- як я не маю печиво, це різні IP-адресу, це інший тип computer-- вони будуть, в цьому випадку, відправ мені по електронній пошті говорив, агов, Девід. Схоже, ви увійшли в с знайомі комп'ютер, просто FYI. А тепер моя обліковий запис може бути загрозу, або мій друг дратує можна було б, увійшовши в Тепер мій рахунок розміщення речей на мій канал новин або тому подібне. Але принаймні кількість часу з якою я не знаю, що з супер, супер вузькі. І я сподіваюся, може відповісти. Таким чином, всі три з них, я б скажемо, дуже хороші речі, щоб зробити. Які загрози що трохи складніше для нас кінцевим користувачам для захисту від? Хто-небудь знає, що сесія угон є? Це більш технічний загроза, але дуже добре знайомі тепер, коли ми зроблено Pset шість і сім, і тепер восьмій. Так нагадати, що, коли ви посилаєте трафік через Інтернет, через кілька речі. Дозвольте мені йти вперед і увійти в С9 або CS50.io. Дайте мені тільки один момент для увійти в свій jHarvard увагу. АУДИТОРІЯ: Що пароль. Девід Малан: 12345. Добре. І тут, знають, що, якщо я йду вперед і просити веб page-- і в той же час, дозвольте мені зробити це. Дозвольте мені відкрити інспектор в Chrome Вкладка і мій мережевий трафік. І дозвольте мені перейти до http://facebook.com і очистити це. Насправді, ви знаєте, що? Давайте повернемося до більш знайомих одно-- https://finance.cs50.net і натисніть Enter і увійдіть мережевий трафік тут. Так помітити тут, якщо я дивлюся в моєму мережевого трафіку, відповідь headers-- давайте тут. Відповідь headers-- тут. Таким чином, найперший запит, який я відправлено, який був для сторінки за замовчуванням, це відповів ці заголовки відповіді. І ми говорили про речі, як місце розташування. Мовляв, розташування означає, перенаправлення login.php. Але одна річ, ми не говоримо величезна вартість яких становить близько був лінії, як це. Таким чином, це знаходиться всередині віртуальний конверт, що це відправлено з CS50 Finance-- версія ви, хлопці, написав, too-- до ноутбука користувача або настільний комп'ютер. І це установка печиво. Але те, що це печиво? Згадайте нашого обговорення PHP. Так? Так, це спосіб сказати сайт, який ви все ще увійшли. Але як це працює? Ну, після відвідування finance.cs50.net, це виглядає як цього сервера що ми реалізували це установка печиво. І печиво умовно зателефонувати PHPSESSID сеансу. І ви можете думати про нього, як Віртуальний handstamp в клубі або, як, парк розваг, маленький шматочок з червоною фарбою, яка йде на вашій руці так що наступного разу ви відвідуєте ворота, ви просто показати свою руку, і вибивала в двері дозволить вам пройти або взагалі не на основі цього штампу. Таким чином, подальше просить, щоб мій браузер sends-- якщо я йду до наступного запитом і ви подивіться на заголовки запитів, Ви помітите, більше речей. Але найголовніше це виділену ділянку here-- не встановлений, але печиво печиво. І якщо я перегортати кожного з тих подальших запитів HTTP, кожен раз, коли я бачу руку розширюється с, що точно такий же PHPSESSID, який повинен сказати, це є mechanism-- ця велика псевдовипадкових number-- що Сервер використовує, щоб підтримувати ілюзію з $ _SESSION об'єкта в PHP, в який Ви можете зберігати речі, як ID користувача або те, що в їх кошику або будь-яку кількість інших елементів даних. Так що імплікація? Ну, що, якщо що Дані не шифруються? І, справді, ми за кращий практика шифрування досить багато кожен з сайтів CS50 в ці дні. Але дуже часто ці днів для веб-сайтів ще не мати HTTPS на початок URL. Вони просто HTTP, двокрапка, слеш слеш. Так що імплікація є? Це просто означає, що Всі з цих заголовків всередині цієї віртуальної конверті. І той, хто нюхає повітря або фізично перехоплює цей пакет фізично може заглянути всередину і побачити що це печиво є. І так відведення сесії це просто метод що противник використовує, щоб нюхати дані в повітрі або на деякій провідної мережі, заглянути всередину цього конверт, щоб побачити, о. Я бачу, що ваш печиво це те, що 2kleu. Дозвольте мені йти вперед і зробити копія ручної печаткою і в даний час почати відвідування Facebook або Gmail або будь сам і просто представляємо точно такий же handstamp. А реальність така, браузери та сервери насправді, що наївно. Якщо сервер бачить, що ж печиво, його мета в житті повинно бути, щоб сказати, ах, які повинні бути Девід, які просто увійшли в трохи назад. Дозвольте мені показати цей же користувача, імовірно, що входять Давида або Facebook повідомлення або що-небудь ще до якого увійшли ваш. І єдиний захист проти тобто просто шифрування все всередині конверта. І на щастя, багато сайтів подобається Facebook і Google і т.п. роблять, що в даний час. Але кожен, не залишить вас відмінно, чудово уразливі. І одна з речей, які ви можете do-- і один з приємних особливостей, чесно кажучи, з 1Password, програмне забезпечення Я згадував раніше, якщо ви встановите його на ваш Mac або ПК, програмне забезпечення, крім зберігання Вашого паролі, буде також попередить вас, якщо ви коли-небудь спробувати вхід у веб-сайт, що це збирається відправити своє ім'я користувача і пароль в незашифрованому вигляді і у відкритому вигляді, так би мовити. Добре. Так сесія угон зводиться до того ,. Але є цей інший так, що HTTP-заголовки може бути використаний, щоб скористатися нас. І це ще свого роду проблемою. Це насправді просто чарівні вибачте миритися Cookie Monster тут. Але Verizon і AT & T і інші прийняли багато зенітної артилерії кілька місяців тому для споживачів ін'єкційних, без відома користувачів на початковому етапі, додаткова заголовок HTTP. Так що ті, з вас, хто мав Verizon Wireless або AT & T клітин телефони, і ви були відвідування сайти через телефон, без відома до вас, після HTTP запити залишити Chrome або Safari або щось у вашому телефоні, перейдіть в Verizon або AT & T в маршрутизаторі, вони самовпевнено протягом деякого часу було ін'єкційних заголовок, який виглядає як this-- пару ключ-значення де ключ є тільки Х-UIDH для унікального ідентифікатора Тема, а потім деякі великі випадкова величина. І вони роблять це так, що вони можуть однозначно визначити всі ваші веб-трафіку на люди, які отримують запит HTTP. Тепер, чому б Verizon і AT & T і т.п. хочу, щоб однозначно ідентифікувати вас всі веб-сайти ви відвідуєте? АУДИТОРІЯ: Поліпшення обслуговування клієнтів. Девід Малан: Better-- немає. Це гарна думка, але це не для кращого обслуговування клієнтів. Що ще? Реклама, вірно? Таким чином, вони можуть нарощувати рекламна мережа, мабуть, в результаті чого, навіть якщо ви вимкнений печиво, навіть якщо у вас є спеціальний Програмне забезпечення на вашому телефоні що тримає вас в режимі інкогніто mode-- га. Там немає режиму інкогніто, коли Людина в буквальному сенсі middle--, Verizon Или, по крайней & T-- є ​​вживання ін'єкційних додаткові дані, за якими Ви не маєте ніякого контролю, тим самим відкриваючи які ви до цього в результаті сайті знову і знову. Таким чином, є способи, щоб відмовитися від цього. Але тут теж щось що, відверто кажучи, єдиний спосіб відсунути на це, щоб залишити перевізник повністю, відключіть його якщо вони навіть дозволяють вам, або, як це відбулося в даному випадку, зробити зовсім небагато суєти в Інтернеті, таких що компанії фактично відповісти. Це теж, це просто ще один чарівні можливість показати це. І давайте поглянемо на, давайте кажуть, один або два останніх загроз. Таким чином, ми говорили про CS50 фінансів тут. Таким чином, ви помітите, що у нас є цей милий маленький значок на кнопці входу тут. Що це означає, якщо я Замість цього використовуйте цю іконку? Тому, перш ніж, після. До після. Що після увазі? Це безпечно. Ось те, що я хотів би, щоб ви думали. Але за іронією долі, це безпечно тому що у нас є HTTPS. Але це, як легко це змінити то на веб-сайті, вірно? Ви всі знаєте, трохи HTML і CSS Зараз. І справді, це досить легко, метою яких, і якщо ви не робити it-- змінити значок. Але це теж, що компанії навчили нас робити. Так от скріншот від банку сайту Америки сьогодні вранці. І зверніть увагу, з одного, вони завіряючи мене, що це він безпечний вхід у верхньому лівому кутку. І вони також мають значок замка на кнопку, що означає, що для мене, кінцевому користувачеві? Воістину нічого, вірно? Що важливо, це те, що є великий зелений Посилання нагорі з HTTPS. Але якщо ми наближати на це, це просто як і я, знаючи, трохи HTML і трохи CSS, і кажуть, агов, мій сайт це безпечно. Мовляв, хтось може поставити замок і Слово безпечний вхід на веб-сайті на їх. І це дійсно нічого не значить. Що означає щось щось на зразок цього, де ви бачите HTTPS: // той факт, що Банк корпорації Америки це великий зелений бар, в той час як CS50 не робить, просто означає, що вони заплатили кілька сотень доларів більше, щоб мати додатковий перевірка зробив їх домену в США, так що браузери, які дотримуються до цього стандарту, також покажуть нам трохи більше, ніж це. Таким чином, ми залишити речі в тому, що, налякати вас трохи більше, перш ніж довгий. Але в середу, ми будемо приєднався Scaz Єльський університет для погляду на штучний інтелект і те, що ми можемо зробити з цими машинами. Ми побачимо вас наступного разу.