[音乐播放] DAVID MALAN:这是CS50,和 这是10个周的开始。 你可能还记得这个 从几个星期回图像 当我们谈到 互联网,以及如何 它的实际物理实现的。 你可能还记得,有 实际上一大堆电缆 以及无线 技术,互联 所有的节点或路由器等的 这种技术在互联网上。 而且很多是underseas。 嗯,事实证明,这些 underseas电缆是有点目标。 而今天的演讲完全是 存在安全隐患,不仅 威胁我们所有人的脸 身体上,也无形中, 而且,朝尾端 今天,一些防御 我们因为用户可以 实际投入到位。 但首先,第一之一 也许大多数物理threat-- [视频回放] -Could俄罗斯是计划 对海底电缆的攻击 连接全球互联网? - 俄罗斯舰艇和潜艇 潜伏近海底电缆 携带几乎所有的 世界上互联网。 - 整个网络连接 沿着这些电缆进行。 所有的 - 首先,什么是 互联网做水下? 我最后一次检查,我不是 应该得到我的电脑湿。 其次,如果你问我怎么上网 从大陆前往大陆, 我已经说过卫星 或激光,或者,说实话, 我可能会 刚才说的互联网。 发生了什么事到云? 有人告诉我,有一朵云彩。 记得? 嘿,让我们把在云中。 这就像互联网是一个蒸气 那绕地球的信息, 和您的计算机就像一个钢包 这舀出你所需要的东西。 但事实证明,互联网 其实水下 由于这些电缆将超过 95%每天上网的通信。 而美国情报机构担心, 在紧张或冲突的时候, 俄罗斯可能采取切断他们。 这将是最大的中断 您的互联网服务 因为你楼上的邻居 把密码了无线网络连接。 好不好? 试试他的狗的名字。 [结束播放] DAVID马兰:在我们现在转向 一些比较虚拟威胁, 一对夫妇的公告。 因此,我们的朋友 CrimsonEMS目前 招募新在外转, 紧急医疗技术。 这实际上是什么 特别是接近我的心脏。 很久以前,我 记得在宜家是 毕业后不久,居然。 当我离开了这家店,这 小男孩是谁在婴儿车 开始转向从字面上蓝色。 他被窒息了一些片 食物有想必 得到卡在喉咙里。 而他的母亲被恐慌。 身边的父母惊慌失措。 甚至我,谁有点熟悉 用EMS只是朋友的方式, 完全僵住了。 而这只是感谢的东西 就像一个15岁的救生员谁 跑过去,居然知道该怎么 做本能,并呼吁帮助 实际上拉 男孩从他的婴儿车 实际上讨论的情况。 而对于我来说,这是一个转折点。 而正是那一刻 一次,我决定了,该死的, 我需要让我的行为 在一起,其实都知道 如何将这些响应 种情况。 所以我自己得到了许可 年前的EMT。 并通过研究生院 我才骑在麻省理工学院的救护车 一段时间,以及 因为既然已经跟上我的许可。 而实际上,这一天,所有的 CS50的工作人员在这里剑桥 实际上认证的心肺复苏术, 同时,出于同样的原因。 所以,如果你在所有 有兴趣在此,有 永远不会有足够的时间在 当天采取一些新的东西。 但是,如果你想有一个新年 分辨率,请点击这里加入这些家伙 或考虑深入到 红十字会认证, 无论是在这里还是在纽黑文,以及。 因此,CS50的最后的午餐是这个星期五。 所以,如果你还没有加入我们,或者如果 你有你想要一个更多的时间, 不要去CS50的网站 填写表格那里。 也知道,我们在朋友 耶鲁大学,Scassellati教授, 已生产的AI,人工 智能化,系列化我们 这将开始亮相 本周视频。 因此,特别是如果你有兴趣 在追求一个最终的项目以某种方式 涉及到人工智能, 自然语言处理, 即使是机器人,实现这些意愿 是一个美妙的灵感的。 而只给你一个传情 这一点,这里是Scaz自己。 [视频回放] 的真正伟大的多功能一体 有关计算机科学的东西 是,随着甚至只有 几个星期的研究, 你要能够理解 许多智能神器 和设备填充 我们的现代世界。 在这短短的视频 系列中,我们要看看 事情像Netflix怎么能 建议及推荐电影 我可能会喜欢,它是如何说 的Siri可以回答这个问题我有疑问, 它是如何,Facebook的 能够识别我的脸 和自动标记 我在照片中, 或谷歌如何能够建立 一辆汽车,在其自身的驱动器。 所以,我希望你能和我一起这么短的 一系列的视频,在CS50 AI系列。 我想你会发现,你知道 比你以为你做更多。 [结束播放] DAVID马兰:因此,那些将出现在 本周晚些时候课程的网站。 敬请关注。 并在此期间,数 公告以什么样的未来。 因此,我们在这里。 这是在我们的讲座上的安全性。 本周三,Scaz和Andy, 我们的头教学研究员在纽黑文, 将在这里看 人工智能 本身看看 计算的communication-- 如何建立使用制度 语言从ELIZA沟通, 如果你熟悉这个 软件从昔日到Siri的 最近和华生,你 可能知道,从危害等。 然后下周一,我们是 这里就不在剑桥。 我们在纽黑文的第二个 看人工智能 与Scaz和company-- AI对手的比赛。 所以,如果你曾经交手 计算机在一些视频游戏 或移动游戏等,我们将 说说究竟that--如何 建对手的比赛, 如何表示的东西 在使用遮光罩树下 从像井字棋游戏 国际象棋实际的现代 视频游戏,以及。 可悲的是,竞猜的是,此后不久。 在CS50的关于它的更多细节 本周晚些时候的网站。 而我们在耶鲁最终讲座 是因为周五测验后。 而我们在哈佛最终讲座 将是周一此后, 通过调度性。 因此在里程碑方面, 除了PSET八段这个星期; 状态报告,这将是一 你们之间的快速完整性检查 和你的助教; 在黑客马拉松,这 将在这里在剑桥学生 从纽黑文和剑桥的一致好评。 我们会照顾所有的 交通从纽黑文。 的实施 项目最终将到期。 然后,两个校区 会不会有一个CS50公平 这使我们能够 看看和喜悦 在每个人都已经完成了。 事实上,我认为这将是一个很好的 时刻提醒大家注意这个装置 在这里,我们已经用了 此处一些时间量, 这是一个很好的触摸屏。 而实际上,去年 今年我们有一个$ 0.99的应用程序 我们从Windows应用程序下载 存储为了在屏幕上绘制。 但坦率地说,这是非常混乱。 它使我们能够借鉴 屏幕上,但有一样, 很多图标在这里。 用户界面是非常糟糕的。 如果你想改变 某些设置, 有只是那么多该死的点击。 和用户interface-- 或者,更适当地, 用户experience-- 是相当不理想, 尤其是在使用其在 演讲的环境。 因此,我们伸出手 以我们的朋友 在微软,比约恩,谁实际上 一直沿着CS50在线与以下。 而作为他最后的项目, 本质上,他才很客气 需要一定的投入,我们的精确 的特征和用户体验 我们想。 他随后来到关于建立 对于Windows此应用程序在这里 这使我们能够draw-- oops--和the--拼哇。 谢谢。 为了吸引并在此屏幕上拼出在这里 用很小的用户界面。 所以,你见过我,也许,挖掘了 现在在这里可以轻微我们 可以用红色下划线的事情。 我们可以切换到现在 去白字这里。 如果我们想真正删除 在屏幕上,我们可以做到这一点。 如果我们真正喜欢 白画布,我们可以做到这一点。 因此,这样做非常小 通过设计是否良好。 所以,我futz,希望, 远不如今年在课堂上。 和感谢,也向门生他 我会穿今天有点响。 这是本杰明,谁是 与比约恩今年夏天实习。 所以这是一个小圈。 它比我平时的环稍微大一点。 但是,通过一个小拨 这里边可我居然 左右移动的滑动,前进 和背部,而实际上推进的事情 无线这样,一,我没有 继续回去了空格键 这里。 其二,我没有有 那些愚蠢的表决器之一 并通过召开困扰着我的手 这该死的东西所有的时间 为了简单地点击。 而且毫无疑问,在时间上,将硬件 像这样得到超级,超级小。 因此可以肯定,不要犹豫 要跳出固有的框框 和做的事情,创造 事情甚至不 还存在着最终的项目。 无需再费周折, 一起来看看什么在等着 当你潜入你的最后 在CS50黑客马拉松项目 [视频回放] [音乐播放] [打鼾] [结束播放] DAVID马兰:好的。 因此,斯蒂芬·科尔伯特夹 那我发现刚才 就在几天之前,实际上在电视上。 而事实上,一对夫妇的其他片段 我们将展示今天是令人难以置信的近。 而事实上,这充分说明了 现实如此多的技术 ,坦率地说,有很多的想法 我们一直在谈论的CS50 真的是无处不在。 及的目标之一 当然是肯定 装备你的技术技能, 你能真正解决问题 编程,而是两个,以便 你其实可以做出更好的决策 并做出更明智的决策。 而且,事实上,主题在整个 请在线视频和文章 这些天仅仅是一个可怕的 误解或缺乏 技术如何理解 工作,特别是政治家。 因此事实上,在短短的一点,我们将 看看这些细节之一, 为好。 但是,从字面上就在上 晚上我坐 在贝图西的,一个本地 专营意大利的地方。 我跳上自己的无线网络连接。 而且我很放心 一看就知道它是安全的。 而且我知道,因为它说, 这里的“安全互联网门户” 当屏幕上来。 因此,这是小提示 这出现在的Mac OS 或Windows当您连接到 一个Wi-Fi网络的第一次。 我不得不读通过他们的条件 和条件,最后单击确定。 然后,我被允许继续进行。 因此,让我们开始重新思考所有的东西 这意味着,并不再承担 授予什么人,当我们告诉我们 各种技术遇到它。 因此,人们,这是什么意思了 这是一个安全的互联网门户网站? 有什么事情贝图西的 让人放心的我吗? 听众:发送的报文 来回进行加密。 DAVID马兰:好。 被发回的数据包 来回进行加密。 那是在事实上是这样吗? 如果是这样的话,那么我 所要做的还是什么话我都知道吗? 那么,你会看到一个小 Mac OS中的挂锁图标 或在Windows说, 确实是有一些加密 或加扰回事。 但在此之前,你可以使用加密 门户或Wi-Fi连接,是什么 你有没有平时输入? 密码。 我知道没有这样的密码,也没有 我才键入任何这样的密码。 我只是点击确定。 因此,这是毫无意义的。 这不是一个安全的互联网门户网站。 这是一个100%的不安全的互联网门户网站。 绝对没有加密会 上,和所有正在它的安全 就是三个词短语 在屏幕上出现。 因此,这意味着什么, 不一定,技术。 多一点 令人担忧的,如果你真的 阅读的条款和条件, 这是令人惊讶的可读性, 是this--“你 明白,我们保留 记录或监控流量的权利 确保这些条款得到遵守。“ 所以这是一个有点毛骨悚然,如果贝图西的 就是看着我的互联网流量。 但是,大多数的任何协议 你已经通过盲目点击 肯定已经说了。 那么,是什么,实际上 技术上的意思? 所以,如果有一些令人毛骨悚然 男人或女人在后面 谁的一样,监控 所有的互联网流量, 他或她是如何访问 这些信息到底是什么? 什么是技术 通过这意味着 该person--或 对手,更generally-- 可以看我们的交通? 那么,如果没有加密,是什么 各种各样的事他们能嗅出, 可以这么说,有点检测空气中。 你会怎么看? 是吗? 听众:正在发送的数据包 从计算机到路由器? DAVID马兰:是的。 被发送的报文 计算机到路由器。 所以,你可能还记得,当 我们在纽黑文, 我们通过这些信封,物理, 贯穿全场代表 数据将通过互联网。 当然,如果我们被扔 他们通过观众无线 到达目的地后,任何人都可以 排序抓住它,并做它的一个副本 实际上看看有什么 里面那个信封。 当然,什么是 这些信封内 为任意数量的事情, 包括IP地址 那你想 访问或主机名, 像www.harvard.edu或 yale.edu,你试图 访问或别的东西完全。 而且,路径,too--你知道从 PSET 6 HTTP请求的内 在得到斜线something.html。 所以,如果你正在访问一个特定的页面, 下载一个特定图像或视频, 所有这些信息 是该分组的内部。 所以任何人那里贝图西的CAN 是看在那相同的数据。 那么,什么是一些其他的 沿着这些线路的威胁 要留意在你的 刚开始接受为事实 什么样的人 贝图西的只是告诉你吗? 好了,这是一个article-- 一系列的文章 说出来短短几个月回来。 风靡一时这些天 这些新奇的智能电视。 什么是智能电视,如果你 听说过他们,或一个人在家? 听众:互联网连接? DAVID马兰:是啊, 互联网连接。 因此,总的来说,智能电视是 与互联网连接的电视 和一个非常糟糕的用户 界面,使 更难实际使用的卷筒纸 因为你必须使用一样,起来, 下,左,右或东西 遥控器上的刚 访问的事情,这么多 在笔记本电脑上更容易做到。 但更令人担忧的关于智能电视, 和三星电视在这种特殊情况下, 是三星电视和其他 这些天来有一定的硬件 创造他们声称是 更好的用户界面为您服务。 因此,人们,你可以跟 你的一些电视这些天, 没有任何的不同的Siri或 其他等值的手机。 所以,你可以说的命令, 样变道, 提高音量,关闭,或类似物。 但是,什么是寓意 那逻辑? 如果你已经有了电视在你的客厅 在你的床脚下室或电视 要入睡, 有什么含义? 是吗? 听众:有可能是什么 通过该机制将在 检测你的演讲。 DAVID马兰:是的。 听众:这可能 通过互联网发送。 如果是未加密的, 那么它的脆弱。 DAVID马兰:的确。 如果你有一个内置麦克风 成电视及其在生命的目的 按照设计,听 你和回应你, 它肯定将是 听你说的一切 然后转换,为 一些嵌入式的指令。 但美中不足的是,大多数这些 电视是不完全聪明自己。 他们非常依赖 该互联网连接。 那么像Siri的,当 你跟到您的手机, 很快将发送跨数据 互联网Apple服务器, 然后回来的响应,从字面上 是三星电视和现金等价物 只是发送一切你 在您的客厅说 或卧室到他们的服务器只是为了 发现他说了,打开电视 或关掉电视吗? 天知道 否则可能应了一声。 现在,有一些方法 以减轻这一点,对不对? 像什么呢Siri的,什么 做谷歌和其他人 至少对保卫 这种风险,他们是 听绝对一切? 它必须被激活 说什么 喜欢,嘿嘿,Siri的,或喜谷歌或 类似或确定,谷歌等。 但我们都知道,那些 那种表情吸,对不对? 就像我刚刚sitting-- 实际上最后一次 我在耶鲁大学工作时间,我想, 贾森或转录因子之一不停地吆喝着, 喜欢,嘿嘿,Siri的,哎,Siri的 并让我的手机 做的事情,因为他太 近到我的实际电话。 但相反的是真的,太。 有时,这些事情就 踢,因为它是不完美的。 事实上,自然 语言processing-- 了解一个人的措辞和 然后做基于它 - 东西 肯定是不完善的。 现在,更糟糕的是,一些 你可能已经看到了 或有一台电视机,你可以做 像这样的愚蠢,或新时代的东西 于信道改变到左侧或 这给信道切换到右 或降低音量或提高音量。 但是,这是什么意思电视机有? 照相机指着你 在所有可能的时间。 而事实上,围绕三星骚动 电视为此,他们采取了一些高炮 是,如果您阅读条款和 的TV--的东西条件 你肯定从来没有拆包的时候读 电视的第一时间 - 嵌入式 在那里是一个小免责声明 他说相当于, 一个你可能不希望有个人 在这种电视机前交谈。 而这正是它减少到。 但是,你甚至不应该 需要被告知。 你应该能够 从现实推断 该麦克风和摄像头字面上 所有的时间指着我 也许是弊多于坏的。 坦率地说,我说这 有些虚伪。 我从字面上,除了那些摄像头, 我有一个小小的摄像头在这里 在我的笔记本电脑。 我有另外一个在这里。 我有我的 手机在两侧。 所以,恐怕我爱不释手 走错了路,他们 还能看着我,听我说。 而这一切可能是 发生的所有的时间。 那么是什么阻止我的iPhone或Android 手机从做这一切的时候? 我们怎么知道,苹果和 一些令人毛骨悚然的人在谷歌, 不听的到 这很谈话 通过电话或会话 我在家里还是在工作? 听众:因为我们的生活 是不是很有趣。 DAVID马兰:因为我们的 生活是不是很有趣。 这实际上是一个有效的回应。 如果我们不担心 有关特定威胁, 还有一类是谁 关心的方面吧。 小以前的我是不会 要真正成为一个目标。 但他们肯定可以。 所以,即使你看到一些 在电视和电影俗气的东西, 喜欢的哦,让我们打开电网还有 - 像蝙蝠侠做这个有很多,其实, 居然能看到世界街头,有什么 通过人的手机的方式回事 或类似物。 一些这有点未来主义, 但我们非常有这些天。 几乎所有的人都 带GPS走动 转发即是 告诉苹果和谷歌 和其他人的希望 知道我们的世界。 我们有一个麦克风。 我们有一个摄像头。 我们讲像Snapchat和 其他应用程序每个人,我们知道, 所有他们的电话号码的, 他们所有的电子邮件地址。 所以同样,外卖店之一 今天,希望是至少暂停 之前一点点 只是一味的说,OK 当你想要的 方便Snapchat的 知道谁所有的朋友是。 但反过来说,现在Snapchat 知道大家都知道吧 和所有的小纸条,你可能 在接触中。 因此,这是一个及时的,太。 几个月前,Snapchat 本身并没有受到损害。 但是出现了一些 第三方应用程序 这使得它更容易保存 图片及渔获物 这是第三方服务 被自己受到损害, 部分原因是Snapchat的服务 支持的特性,他们可能 不应有,这允许 这种归档由第三方。 而问题是,档案 ,如90000卡扣,我觉得, 最终被攻破。 所以你可能需要一些安慰 像Snapchat是短暂的, 对? 你有7秒钟看看 不恰当的消息或笔记, 然后消失。 但有,你们中的大多数 可能已经想通了 怎么现在,采取截图哪些 最简单的方法来规避。 但有两个,没有什么停止 公司或个人在互联网上的 从截获的 数据,有可能,也是如此。 因此,这是字面上 短短两天以前。 这是一个很好的文章标题 网站上线。 “史诗Fail--电源蠕虫 勒索一不留神销毁 受害者的数据在加密过程中。“ 所以,从另一个翻录 头条样的东西在这里。 所以,你可能有 听到的恶意软件,这 是恶意software--如此糟糕的软件 人们有太多的空闲时间 写。 有时,它只是做 如删除文件蠢事 或发送垃圾邮件等。 但有时,以及越来越多 这是更复杂的,对不对? 你们都知道如何 涉足加密。 而凯撒的Vigenere 是不是超级安全, 但还有其他的,当然, 是更复杂的。 所以这是什么对手做 被写了一个恶意软件 不知怎的感染一 一群人的电脑。 但他是那种白痴和 写了这个恶意软件的越野车版本 使得当他或她 实施代码 - 哦,我们是 得到了很多of--遗憾。 我们得到了很多 点击麦克风上。 好。 这样的问题是什么 他(或她)写了一些不好的代码。 因此,他们产生 伪随机加密密钥 与加密 别人的恶意的数据, 然后不小心摔 远的加密密钥。 所以这样做的效果 恶意软件并不如预期, 赎某人的数据通过 加密他或她的硬盘驱动器 然后期待$ 800名的美军的回报 为加密密钥,在该点 受害人可以 解密他或她的数据。 相反,坏家伙根本 加密所有数据 他们的硬盘上,不小心 删除加密密钥, 而没有钱了出来。 但是,这也意味着,受害者 一个真正的受害者,因为现在的他(她) 不能恢复,除非任何数据 他们实际上有一些老学校 备份它。 因此,这里也有几分成为现实 你会读到这些天。 以及如何防范呢? 那么,这是一个整体 蠕虫病毒,没有双关语意, 有关病毒和蠕虫等。 并且有一定的软件 使用它可以为自己辩护。 但比这更好的是 只是要聪明一点。 事实上,我haven't--这是一个 这些听我的话,还不如我做的事情, perhaps--我还没有真正使用 在多年的反病毒软件 因为如果你通常知道该怎么 寻找,你可以对大多数防守 一切都要靠自己。 而实际上,及时在这里 Harvard--有错误或问题 上周在那里哈佛 显然,像, 监控大量的网络流量。 而这一切都是你甚至 访问CS50的网站 可能得到一个警报说法 您无法访问该网站。 它并不安全。 但是,如果你试图访问 谷歌或其他网站, 同样,这些也都是不安全的。 这是因为哈佛的,也有 某种过滤系统的 这是保持一只眼睛上 潜在的恶意网站 以帮助保护我们反对我们。 但是,即使这些东西都清晰 不完美的,如果没有车,自己。 所以这里 - 如果你很好奇,我会 离开这些幻灯片了online-- 是实际的信息 敌手了。 而他(她) 要求在bitcoin-- 这是一个虚currency-- $ 800 美国实际解密数据。 不幸的是,这 被彻底挫败。 所以,现在我们将看看 一些更多的政治。 再次,这里的目标是 开始思考如何 你可以做出更明智的决策。 而这是后话 在英国,目前发生的事情。 这是一个美妙的标语 从有关此的文章。 英国推出,作为 你会看到,一个新的监视 法案由此,英国是 建议监视一切 英国人做为期一年。 然后数据被抛出。 报价,引文结束,“这将 服务于专制好。“ 所以,让我们一起来看看吧 朋友的先生科尔伯特的。 [视频回放] - 欢迎,欢迎,欢迎 以“上周今晚。” 非常感谢您接受我们的访谈。 我是约翰·奥利弗。 只要时间为一周的快速回顾一下。 我们开始与英国, 地球上最神奇的国度。 本周,争论已经持续了 有过争议的新法律。 -The英国政府 揭幕新的监视法律 这显著扩大其权力 在线监测人们的活动。 -Theresa五月有来电 它经营许可。 另一些人把它称为一个 窥探者的章程,是不是? - 嗯,坚持因为 - 窥探​​者的 章程是不正确的短语。 这听起来像 协议八岁的 被迫签署前途敲 他进入了他父母的卧室了。 德克斯特,签订本窥探者章程或 我们可以不承担责任是什么 你可能会看到。 该法案可能写 成为法律,一个巨大的侵犯隐私。 - 下层 - 计划,的网站列表 参观了每个人在英国 将被记录为一年,并可能 提供给警察和安全 服务。 - 此通信 数据不会泄露 确切的网页,你看, 但它会显示该网站就开始了。 -好。 所以它不会存储 确切的页面,就在网站上。 但是,这仍然是一个很大的信息。 例如,如果有人 参观orbitz.com, 你知道他们是 想着出远门。 如果他们参观了yahoo.com,你会 知道自己只是得了中风 忘字“谷歌”。 如果他们参观了vigvoovs.com, 你知道他们是角质 他们的B键不起作用。 然而,对于所有的扫 权力的法案包含, 英国内政大臣文翠珊 坚持认为,批评家们吹出来 的比例。 - 一个互联网连接的记录是 通信服务的记录 一个人使用,而不是一个创纪录 每个网页,他们已经访问。 这只不过是相当于现代的 逐项手机话费。 是啊,但是这并不像 令人欣慰的,因为她认为这是。 我会告诉你为什么。 首先,我不希望政府 看着我的电话要么。 其次,一个 网络浏览历史记录 是有一点不同 逐项手机话费。 没有人疯狂地删除自己的手机 账单每次他们完成通话。 [结束播放] DAVID马兰:模式的出现 以我上课做哪些准备。 这只是看电视一周 看看什么出来,清清楚楚。 这样,也只是从去年 晚上“上周今晚。” 因此,让我们现在就开始谈 一些防御工事。 事实上,对于一些 这样,这里的英国人 提议以保留日志之类的 数据时,其中可能也被来自何处? 那么从​​PSET 6召回, PSET七人,PSET 8现在 这些虚拟的里面 envelopes--至少HTTP-- 是像这样的消息。 所以这条消息, 当然,不仅是 寻址到特定的IP地址, 它在这里或那里的政府 当然可以登录。 但是,即使里面的那个信封是 明确提到该域名 这正在被访问。 如果它不只是 削减,它实际上可能 是特定的文件名或 一个特定的图像或电影 或者,再次,任何东西 感兴趣的你可以 如果被肯定截获 所有的网络业务的 以某种方式被代理 通过政府的服务器, 正如已经发生在一些 的国家,或者如果有 是某种未知或 未公开的协议, 因为在这已经发生 某些大型players--的国家 互联网服务供应商和电话公司, 在like--和政府。 这么好笑story--我最后一次选择 badplace.com把我的头顶部 作为一个粗略的例子 网站,我其实没有 兽医事前不论该 实际上导致了badplace.com。 值得庆幸的是,这个领域 名字只是停, 它实际上并不 导致badplace.com。 因此,我们将继续 使用现在之一。 但有人告诉我,可能已适得其反 非常差那一天。 因此,让我们开始现在谈论 关于某些抗辩 什么洞有 甚至可能是在那些。 因此密码是同类产品中去,回答 对于很多的防御机制,对不对? 只是密码保护它,然后 ,将让对手了。 但到底是什么,实际上意味着什么呢? 所以从黑客召回 二,回来,如果你解决 that--当你不得不破解密码 在一个file--甚至问题 设置七,当我们给你一个样本SQL 一些用户名和密码的文件。 这些是用户名,你 看到了,而这些人的哈希 我们分发了 问题的黑客版设置两个。 如果你一直想知道这一切 时间是什么实际的密码是, 这是什么,其实, 他们解密,这 你可以已经破解的PSET两个, 你可能会调皮地揣摩他们 在问题设置七人。 希望他们都具有一定的 可爱的意思在这里或在纽黑文。 但是外卖的是, 所有的人,至少在这里, 是相当短的,漂亮的猜测。 我的意思是,基于该列表在这里, 这也许是最简单的 破解,找出写 软件只是猜测和检查, 你会说什么? 听众:密码。 DAVID马兰:密码的 还不错吧? 而且它是just--之一,它的 一个非常常见的密码。 事实上,每年有名单 最常用的密码在世界上。 和报价,引文结束“密码” 一般上面这个列表。 二,它是在一本字典。 你知道的问题 设置5,这不是 该hard--可能是一个 一点时间consuming-- 但它并不难负荷 一个大辞典到内存 然后用它来 排序的猜测和检查 所有可能的字在字典中。 还有什么可能是相当 容易猜测和检查? 是吗? 听众:字母的重复。 DAVID马兰:在重复 符号和字母。 所以那种类型的。 所以,在fact--,我们不会进入大 细节这里 - 所有这些都腌, 你可能还记得 问题集SEVEN公司的文档。 他们中有些人有不同的盐。 所以,你可以真正避免 某些字符重复简单 通过不同的盐析密码。 但是,像12345,这是 一个很容易的事情来猜测。 坦率地说,这个问题 所有这些密码 是,他们都只是用26 可能的字符,或者52 一些大写字母, 然后10个字母。 我没有使用任何时髦的人物。 我没有使用零为O公司或1 因为我的还是L的or--如果哪 认为你是聪明的,但是,由 有一个零在您的密码为O or-- OK,我看到有人微笑。 因此,有人有一个零 一个O在他或她的密码。 你实际上没有被作为 聪明如你所想的,对吧? 因为如果一个以上的 我们是这样做的room-- 我已经犯了这是well-- 好了,如果大家的一种这样做的, 什么对手有什么关系? 只需添加零和一 和一对夫妇的other-- 也许四号位的H's--他或她的 阿森纳与刚刚替补那些 字母字典中的字。 而这只是一个附加 循环或类似的东西。 因此,其实,最好的 防御密码 东西很多,很多 随机似乎那么这些。 现在,当然,威胁 针对密码 有时有这样的电子邮件。 所以,我真的只是得到这个 在我的收件箱四天前。 这是来自布列塔尼,谁 显然是工作在harvard.edu。 她给我写了一个 网络邮件的用户。 “我们刚刚 注意到你的电子邮件 帐户登录 到另一台计算机 在不同的位置, 而你验证 您的个人身份。“ 所以在很多的电子邮件一样专题 这一点,这是网络钓鱼的例子 attacks--的P-H-I-S-H-I-N-G--其中 有人试图以鱼,并得到一些 信息挖出来, 一般由这样的电子邮件。 但什么是一些搬弄是非的 迹象,这不是,其实 从一个合法的电子邮件 哈佛大学? 那是什么? 所以语法错误时, 怪异的资本, 怎么有些字母 资本在某些地方。 有一些奇怪的缩进 在几个地方。 还有什么? 那是什么? 好了,那肯定 helps--黄色的大箱子 ,说这可能是垃圾邮件 谷歌,这肯定是有帮助的。 因此,有很多蛛丝马迹这里。 但实际情况是,这些 电子邮件必须工作,对不对? 这实在是太便宜,如果不是免费的,送 出数百封电子邮件或数千人。 而且它不只是通过发送 他们走出自己的ISP。 其中的东西, 恶意软件也倾向于do-- 这样的病毒和蠕虫意外 感染或电脑,因为他们已经 写了由adversaries--之一的 他们所做的事情是刚刚生产出垃圾邮件。 那么,确实存在 在世界上,其实, 事情被称为僵尸网络, 这是说,一个奇特的方式 人们有更好的编码 技不如人谁 写的软件,越野车版本, 实际上编写的软件 那我们这样的人懵懵懂懂 安装在我们的电脑 然后开始运行的背后 在幕后,瞒着我们。 而那些恶意软件 节目互通。 它们形成一个网络, 一个僵尸网络,如果你会的。 并且一般地,最 复杂的对手 有一些远程控制的 数千,如果不是几万, 仅通过发送计算机 出在互联网上的消息 所有这些机器人的,可以这么说, 能够听到或偶尔 一些中心站点,然后请求 可被控制以发送垃圾邮件。 而这些垃圾东西都可以 刚刚出售给出价最高的人。 如果你是一个公司或 排序刘海公司 这并不真正关心 这类垃圾邮件的用户伦理 但你只是想 打了一万人 并希望1% them--这仍然是 一个平凡的数 潜在buyers--的 实际上你可以支付这些对手 在各种各样的黑市排序 发送这些垃圾邮件 通过他们的僵尸网络给你。 所以,我只想说,这不是 特别引人注目的电子邮件。 但即使是哈佛和 耶鲁等常 犯错误,在 我们知道,从几个星期 回来,你可以做一个 链接说www.paypal.com。 它看起来像它去那里。 但是,当然,它 实际上并没有做到这一点。 所以,哈佛和耶鲁等都有 肯定是有罪的,多年来 在向用户发送电子邮件 这是合法的, 但它们包含在其中的超链接。 而我们,作为人类,一直 训练的排序官员, 很多时候,实际上只要按照 我们收到的电子邮件中的链接。 但是,即使不是最好的做法。 所以,如果你永远得到 像this--电子邮件 也许是从PayPal或 哈佛或耶鲁或美国银行 或like--你还是不应该点击 的联系,即使它看上去合法。 你应该手动键入 出该URL自己。 坦率地说,这就是 系统管理员 应该告诉我们这样做的 我们不是被骗到这样做。 现在,你们有多少人,也许 通过低头看着自己的座位, 有密码写下来的地方? 也许在你的宿舍里一个抽屉或 也许under--在一个背包的地方? 钱包? 没有? 听众:在一个防火的密码箱? DAVID马兰:在一个防火的密码箱? 好。 所以,这不是一个好 便条在显示器上。 因此可以肯定,一些 你坚持没有。 但直觉告诉我来说这是 未必如此。 因此,如何更简单, 更可能的问题 - 你们有多少人正在使用 相同的密码在多个站点? 哦好的。 现在我们是诚实的。 好吧。 所以这是个好消息,对不对? 因为如果它意味着那些,如果只有一个 大家使用的是被攻破的网站, 现在的对手有 访问更多数据 关于您或更多的潜在漏洞。 所以这是一个容易避免的。 但是,你们有多少人有一个 漂亮猜测的密码? 也许不是那么糟糕,因为这一点,但什么? 对于一些愚蠢的网站,对不对? 这不是高风险, 不具有信用卡? 我们所有人。 像,连我都的密码 有可能只是12345,肯定。 所以现在尝试登录到每一个网站 你能想到的与malan@harvard.edu 和12345,看看是否可行。 但是,我们这样做,太。 所以为什么? 为什么我们这么多人要么漂亮 简单的密码或相同的密码? 什么是真实世界 理由呢? 它更容易,对不对? 如果我说不是, 在学术上,你们 确实应该选择 伪随机的密码 至少有16个字符长,有 按字母顺序排列的字母组合, 数字和符号, 谁到底是怎么回事 要能做到这一点,或 请记住这些密码, 更不用说为每 每一个可能的网站? 那么什么是一个可行的解决方案? 嗯,一 今天最大的外卖店, 同样,务实,会 可以,说实话,开始 使用某种密码管理器。 现在,有积极以及 这些东西缺点,太。 这是两个我们 往往在CS50建议。 一个人的所谓按钮的1Password。 一个叫做LastPass的。 而有些人可能使用这些了。 但它通常是一个 的软件, 不利于产生大 伪随机密码,你 不可能记得一个人。 它存储的伪随机 在其自己的数据库密码, 希望在您的本地硬盘 drive--加密,更好。 和所有你的人, 一定要记住, 通常情况下,是一个主密码, 可能会是超长。 也许这不是随机字符。 也许这是一样,一个句子或 短款,你能记住 你可以每天键入一次 解锁你的电脑。 所以,你使用一个特别大 密码保护和加密 您的所有其他密码。 但现在你是在 使用软件的习惯 这样生成伪 在所有网站密码 您访问。 事实上,我可以 舒适地说,现在,在2015年, 我不知道大多数 我的密码了。 我知道我的主密码, 我键入,在不知不觉中, 每天一次或多次。 但好处是,现在,如果有的话 对我的一账户被泄露, 有没有办法,有人 要使用该帐户 要进入另一个因为没有 我的密码是相同的了。 当然,没有人,即使他 或者她写道对抗软件 蛮力的东西, 猜测所有可能的passwords-- 他们将要赔率 选择我的24个字符的密码 就是如此,如此之低,我只是不 担心这种威胁了。 那么什么是权衡吗? 这似乎是美妙的。 我这么多的安全。 什么是取舍? 是吗? 听众:时间。 DAVID马兰:时间。 这是一个更容易 键入12345,我记录 在与东西是24 字符长或短款。 还有什么? 听众:如果有人打破 主密码。 DAVID马兰:是的。 所以你那种变化 威胁的情况。 如果有人猜测或数字 出或读取便利贴 在安全的文件库, 主密码,你有, 现在一切都大打折扣 因此以前它 是也许只是一个帐户。 还有什么? 听众:如果你想使用的任何 您的帐户上的其他设备 而你没有LastPass的[听不清]。 DAVID马兰:是啊,那是 样的渔获物了。 有了这些工具也一样,如果 你没有你的电脑 而你的一样,一些咖啡馆或你 在朋友的房子或一个计算机实验室 或任何你想要 登录到Facebook的, 你甚至不知道是什么 您的Facebook密码。 现在有时,你可以缓解 这由具有溶液 我们将在短短的时刻谈 所谓的双因素身份验证 因此Facebook将你的文字或 将发送一个特殊的加密消息 您的手机或其他 你随身携带的设备 在钥匙链上有 您可以登录。 但是,这,也许,恼人的,如果你 在科学中心地下室 或其他地方,在这里纽黑文的校园。 您可能没有信号。 所以这并不一定解决方案。 所以,这真的是一个权衡。 但我会鼓励你 如果你去CS50的网站do--, 我们实际上安排了第一 这些公司站点许可证, 可以这么说,所有的CS50的学生 所以你不必支付$ 30个 左右,它通常花费。 对于Mac和Windows,可以检查出 的1Password免费在CS50的网站, 我们将钩你这一点。 实现,那就是,一些 这些tools--包括LastPass的 在其forms--之一是 基于云计算的,如科尔伯特 说,这意味着你的密码 被encryptedly存储在云端。 这个想法还有就是你可以去 一个素不相识的人或朋友的电脑 并登录到您的Facebook 帐户或类似 因为你第一次去 lastpass.com,访问密码, 然后键入入。 但是,什么是威胁的情况呢? 如果你存储的东西 在云中,而你 访问该网站 在一些不知名的电脑, 什么可能你的朋友做 对您或您的按键? 好。 我将手动推进 滑这里开始了。 键盘记录程序,对不对? 另一种类型的恶意软件 是一个键盘记录,这 仅仅是一个程序实际上是 记录所有你输入。 所以,也很可能会更好 有这样一些辅助设备。 那么,什么是双因素认证? 正如其名称所暗示的,它是你 不是一个而是两个因素与 验证一个网站。 因此,而不是仅仅使用一个密码, 你有一些其他的第二个因素。 现在,通常是,1, 因素是你知道的东西。 在那种所以东西 你的心灵的眼睛,这是 你的密码,你记忆。 但有两个,没有别的东西 你知道或记忆 但一些你身体有。 这里的想法是 你的威胁不再 可能是一些素不相识的人 在互联网上谁可以只 猜测或找出你的密码。 他或她必须具有物理 访问到你有什么事情, 这仍然是可能的 静静的,也许, 更加实际的威胁。 但它至少 不同类型的威胁。 这不是一百万无名的人 在那里试图让你的数据。 现在,这是一个非常具体的 人,也许, 如果这是一个问题,这就是 另一个问题完全,也是如此。 这样普遍存在 为电话或其他设备。 而且,事实上,耶鲁大学刚刚推出 这一点期中等 这不会影响 人们在这个房间里。 但是,那些你跟随 沿着纽黑文 知道,如果你登录 到yale.net ID, 除了输入你的 用户名和密码, 你再提示此。 和,例如,这是一个 今天早上我截图了 当我登录到我的耶鲁账户。 并把它送到我的等价 一个短信到我的手机。 但在现实中,我下载了一个应用程序 提前耶鲁现在分布, 我必须现在只需键入 他们发送给我的电话代码。 但要清楚, 这样的好处是,现在, 即使有人计算出 我的耶鲁大学的密码,我很安全。 这是不够的。 这是只需一键,但我 需要两个解锁我的帐户。 但是,有什么缺点, 耶鲁大学的制度也许? 我们会通知耶鲁知道。 有什么缺点? 那是什么? 如果你没有手机服务,或者如果您 没有Wi-Fi接入,因为你 只是在一个地下室或什么的,你 可能无法得到的消息。 值得庆幸的是,在这种特殊情况下, 这将使用Wi-Fi或别的东西, 它的工作原理周围。 但一个可能的方案。 还有什么? 你可能会失去你的手机。 你只是没有它。 电池耗尽。 我的意思是,有一些 恼人的场景 但可能出现的情况是可能发生 这让你后悔这个决定。 而最坏的可能 结果,坦率地说,然后 将是为用户 完全禁用此。 因此,有总是会 是这样的紧张。 你必须找到自己 作为用户排序一个甜蜜点。 而要做到这一点,需要几个 具体建议。 如果你使用谷歌Gmail或谷歌应用服务, 知道,如果你去这个网址在这里, 您可以启用双因素 验证。 谷歌称它两步验证。 并单击设置, 那么你这样做。 这是一个很好的事情,尤其是 这些天,因为,这要归功于饼干, 长你登录几乎一整天。 所以,你很少有 反正输入密码。 所以,你可能做一次 周,每月一次,每天一次, 而且它少了一个大 应对比过去。 Facebook的,也有这个。 如果你是一个有点过于宽松的打字 您的Facebook密码,朋友的 计算机,至少能够使双因素 身份验证,以便那个朋友, 即使他或她有 击键记录程序, 他们不能进入你的帐户。 好了,这是为什么? 难道不是因为记录 我已经在我的手机在输入代码 称Facebook已经发送给我吗? 听众:[听不清]。 DAVID马兰:是的。 精心设计的软件 将改变这些代码 发送到你的手机 每隔几秒钟或每次 而这样一来,是啊,连 如果他或她计算出 你的代码是什么,你还在 安全的,因为它已过期。 这是个什么样子 喜欢在Facebook的网站上。 但还有另一种方法完全。 因此,如果这些类型的取舍 是不是特别诱人, 在安全的一般原则会 是,那么,就至少审计的事情。 那种不要把你的头在 沙只是不知道是否或何时 你被入侵或攻击。 至少建立一些机制 ,通知你瞬间 如果有什么异常发生 这样你至少窄 的时间期间的窗 其中一个人可以做的损害。 而到这一点,我指的是following-- 在实,例如, 您可以打开什么 他们称之为登录警报。 而现在,我已经启用邮件 登录警报,但没有通知。 而这意味着什么是 如果Facebook的通知 我已经登录到一个新的computer-- 就像我没有一个cookie, 这是一个不同的IP地址,这是 不同类型的computer-- 他们会在这种情况下,发 我一个电子邮件,说,嘿,大卫。 看起来你从登录 陌生的计算机,仅供参考。 现在我的帐户可能 妥协,还是我烦人的朋友 可能已经登录到 我的帐户现在发布的东西 在我的新闻源等。 的时间,但至少该量 与我懵了那 超级,超窄。 我希望能回应。 因此,所有这三个,我会 比方说,是非常好的事情要做。 什么是一些威胁 这是一个有点困难 对于我们最终用户,以防止? 有谁知道什么 会话劫持是? 这是一个技术性的威胁, 但很熟悉现在,我们已经 做PSET六,七,现在八强。 所以记得,当你发送的流量 在互联网上,一些事情发生。 让我继续前进, 登录到C9或CS50.io. 给我一个时刻 登录我jHarvard账户。 听众:什么是你的密码。 DAVID马兰:12345。 好吧。 而在这里,要知道如果我去 进取,请求Web page-- 在此期间,让我做到这一点。 让我打开Chrome的检查 标签和我的网络流量。 让我去 http://facebook.com和清除此。 其实,你知道吗? 让我们去一个更熟悉 埃德蒙顿https://finance.cs50.net ,然后单击输入和记录 这里的网络流量。 所以请注意这里,如果我看 在我的网络流量, 响应headers--让我们去在这里。 响应headers--这里。 这样的第一请求,我 送,这是默认页面, 它回应 这些响应头。 我们已经讨论过 像位置。 像,地理位置 重定向到的login.php。 但有一点,我们没有谈一个巨大的 量大约是这样的线路。 因此,这是内部 虚拟的信封,是 从CS50 Finance--发 版本你们写的, too--到一个用户的笔记本电脑 或台式计算机。 这是设置一个cookie。 但是,什么是cookie? 回想一下我们的PHP的讨论。 是吗? 是的,它告诉的方法 网站,你仍然登录。 但如何运作的? 好了,在参观finance.cs50.net, 它看起来像该服务器 我们实行的是设置一个cookie。 这cookie是传统 叫PHPSESSID会话ID。 你可以认为它像一个 虚拟handstamp在俱乐部还是一样, 一个游乐园,一小片 红墨水的推移你的手 所以,下一次你访问 门,你只需出示你的手, 和保镖在门口会让你 传递或根本不基于该邮票。 因此,随后的 请求我的浏览器 sends--如果我去下一个请求 你看看请求头, 你会发现更多的东西。 但最重要的是这 突出部分这里 - 没有设置cookie的,但饼干。 如果我翻阅每一 这些后续的HTTP请求, 每次我都会看到一个手 正在扩展与完全相同的 PHPSESSID,这是说 这是mechanism-- 这个大伪number--一个 服务器用来维持假象 PHP的$ _SESSION对象,在其中 你可以存储东西,如用户的ID 或者是在他们的购物车或 任何数量的其它数据片段。 那么,有什么含义? 那么,如果这 数据是不加密的? 而且,事实上,我们为最佳 实际上加密几乎 每一个CS50的网站,这些天。 但它是很常见的,这些 对于网站还是天 不要有HTTPS在 的URL的开始。 他们只是HTTP,冒号,斜线斜线。 那么,有什么含义呢? 这只是意味着, 所有这些报头 是虚拟包络线的内侧。 ,谁嗅着 空气或物理 该数据包物理拦截 可以往里看 这是什么Cookie是。 所以,会话劫持 简直就是一个技术 该对手使用嗅探数据 在空气中或一些有线网络上, 看看这里面 信封,看看哦。 我看到您的cookie 是2kleu什么。 让我继续前进,使 你的手印章的复印件 现在开始访问的Facebook 或Gmail或任何自己 和公正的呈现 完全相同的handstamp。 而现实情况是,浏览器和 服务器真的是太天真了。 如果该服务器发现相同 饼干,其人生目标 应该说,哦, 那一定是大卫, 只需登录一点点前谁。 让我给这个相同的用户, 据推测,David的收件箱或Facebook 邮件或其他任何 在其中您登录。 和反对的唯一办法 这是只加密 一切信封的内部。 而值得庆幸的是,很多网站喜欢 Facebook和谷歌之类的 正在做的现在。 但是,任何不离开你 完美,完美脆弱。 和的东西,你可以do-- 1 和一个很好的特性,坦率地说, 的1Password的,该软件 我前面提到的, 是,如果你在安装它的 Mac或PC,软件, 除了存储您 密码,也将 警告你,如果你曾经尝试 登录到一个网站,是 要送你的用户名 和密码加密 而在明确的,可以这么说。 好吧。 因此,会话劫持归结到这一点。 但是,有这样其他 方式,HTTP头 可以用来把我们的优势。 这依然是那样的一个问题。 这其实只是一个可爱 借口要忍受饼干怪兽在这里。 但是,Verizon和AT&T和 别人花了很多高射炮 几个月前注射, 不知情的用户开始, 一个额外的HTTP标头。 所以,那些你们谁曾 Verizon无线和AT&T细胞 手机,你已经访问过 通过您的手机网站, 不知情的你,你的HTTP后 请求离开Chrome或Safari浏览器 或任何你的手机上,进入 为Verizon或AT&T的路由器, 他们擅自 一段时间已经 注入头,看起来 像this--一个键值对,其中 最关键的是刚刚的X UIDH 为唯一标识 标题,然后一些大的随机值。 他们这样做,所以 它们可以唯一 找出所有的Web流量到 人们收到您的HTTP请求。 现在,为什么Verizon公司 和AT&T等 想唯一识别你 所有的网站你访问? 听众:更好的客户服务。 DAVID马兰:Better--没有。 这是一个很好的想法,但它的 没有更好的为客户服务。 还有什么? 广告,对吧? 因此,他们可以建立一个 网络广告,据推测, 因此,即使你 已关闭饼干, 即使你有特别的 软件在手机上 ,让你在隐身mode--公顷。 有没有隐身模式时, 人在middle--从字面上看,Verizon公司 或AT&T--被注入 额外的数据在这 你无法控制的,从而揭示 你是谁该得到的网站 一次又一次。 所以,有一些方法可以选择出这一点。 但在这里,也就是事 坦率地说,唯一的办法 推回,这是离开 运营商完全,禁用它 如果他们甚至允许你, 或者,如发生在这种情况下, 使相当多的大惊小怪在线等 该公司实际上做出回应。 这也只不过是另一种 可爱的机会来展示这一点。 让我们来看看,让我们 说,一个或两个最终的威胁。 所以我们谈到CS50财经这里。 所以,你会发现,我们有这个可爱的 在这里的登录按钮小图标。 这是什么意思,如果我 而使用该图标? 所以之前,之后。 前,后。 什么是后是什么意思? 它是安全的。 这就是我想你想。 但讽刺的是,它是安全的 因为我们有HTTPS。 但是,这是多么容易改变 一些网站上,对不对? 你们都知道一点HTML和CSS现在。 而事实上,这是很 易用于:如果你 没有做它 - 更改图标。 但是,这也就是 公司告诉我们做的。 因此,这里是从银行截图 美国的网站今天上午。 同时注意,一,他们是 令人欣慰的我就是这样的 在左上角的安全标志。 而且他们也有一个 在按钮上的挂锁图标, 这意味着什么对我来说,最终用户? 真正的什么都没有,对不对? 真正重要的是 还有就是大绿 网址上去顶用HTTPS。 但是,如果我们放大这一点,仅仅是 像我一样,知道HTML一点点 和一点的CSS,并说, 哎,我的网站是安全的。 就像,任何人都可以把挂锁和 字安全登录到他们的网站。 它真正意味着什么。 这是什么意思的东西 是这样的, 在这里你看到的是https://事实上, 美国银行公司有这个 大绿坝,而CS50没有, 只是意味着他们支付数百 元以上有额外的 验证完成了他们的领域 在美国,这样谁坚持的浏览器 这个标准也将向我们展示 一点点的还不止这些。 所以我们会离开的东西在那, 吓唬你以前长多一点。 但在周三, 我们将通过Scaz接合 从耶鲁大学看看 人工智能 而且我们可以利用这些机器做的。 我们会看到你下一次。