[За възпроизвеждане на музика] 

DAVID Malan: Това е CS50, и това е началото на 10 седмица. И може би си спомняте тази изображение от няколко седмици назад когато ние говорихме за Интернет и как това е действително извършените физически. И вие може да се припомни, че има всъщност един куп кабели както и безжична технологии, които интерконект всички възли или маршрутизатори и други такива технологии в Интернет. И много, че е underseas. 

Е, оказва се, че тези, underseas кабели са малко на дадена цел. И днешната лекция е изцяло за сигурността не само заплахите, които всички ние сме изправени физически, но и на практика, и също така, край към опашката Днес, някои от възраженията че ние като потребители да действително пуснати на място. 

Но първо, един от първите и може би най-физическа threat-- [Възпроизвеждане на видео] -Could Русия да бъде планирането нападение над подводни кабели които се свързват глобалната интернет? 

-Russian Кораби и подводници дебнат близо подводни кабели които извършват почти всички от световния интернет. 

-В Целия интернет е извършва по тези кабели. 

-Първо Място, това, което е най- Интернет прави подводен? Последния път, когато проверих, аз не съм трябваше да си взема компютъра мокра. Второ, ако питате мен, как интернет пътува от континент на континент, Бих съм казвал сателити или лазери, или, честно казано, Аз може би ще има току-що каза в интернет. 

А какво стана с облака? Казаха ми, че е имало облак. Помня? Хей, нека да сложи това в облака. Беше като в интернет беше парното на информация, която обикаля Земята, и компютърът ви е като черпак че загреба каквото е необходимо. 

Но се оказва, интернет всъщност подводен защото тези кабели носят повече от 95% от дневните интернет комуникации. И разузнаване на САЩ, че притесненията в момент на напрежение или конфликт, Русия може да прибегне до тях разрязване. Това ще бъде най-големият прекъсването към вашия интернет доставчик тъй като си на горния етаж съсед сложите парола на своя Wi-Fi. ДОБРЕ? Опитайте име на кучето си. [END PLAYBACK] DAVID Malan: Преди да се обърнем сега към някои от по-виртуални заплахи, Няколко съобщения. Така че нашите приятели на CrimsonEMS в момента наемането на нови EMTs, Спешни медицински техници. И това всъщност е нещо особено близо до сърцето ми. 

Преди много време, I Спомням си, че в Ikea скоро след дипломирането си, всъщност. И тъй като аз бях излизане от магазина, това момче, което е било в количка започва да се превръща буквално синьо. И той се задушава от известно парче на храни, които са имали вероятно затънал в гърлото му. 

А майка му се паникьосвам. Родителите около тях бяха паника. И дори и аз, който беше малко на познаване с EMS само по пътя на приятели, напълно замръзна. И това е само благодарение на нещо като 15-годишният спасител, който прегази и действително знаеше какво да направя инстинктивно и призова за помощ и действително обърка момче от неговата количка и действително разгледа положението. 

И за мен, това беше повратна точка. И това е, че в един момент време, когато реших, дявол да го вземе, Аз трябва да имам акт заедно и всъщност знаят как да отговори на тези видове ситуации. И така, аз самият имам лицензирана Преди години като EMT. И през завършил училище съм се вози на линейка в MIT за известен период от време, както и като са запазили моите лиценз, тъй като. 

И всъщност, и до днес, като всички на персонала CS50 тук, в Кеймбридж всъщност са сертифицирани в CPR, както и, по подобни причини. Така че, ако сте на всички се интересуват от това, има никога няма да бъде достатъчно време в ден, за да вземе по нещо ново. Но ако искате по Нова година резолюция, да се присъединят към тези момчета тук или помисли достигане до Червения кръст за сертифициране, нито тук, нито в Ню Хейвън, както добре. 

Така миналата обяд CS50 е този петък. Така че, ако сте все още не се присъедини към нас, или ако имате и искате още един път, трябва да излизат на уебсайта CS50 да попълнете формата там. Знайте също, че нашите приятели в Yale, професор Scassellati, е производство на AI, изкуствен интелект, серии за нас че ще започне да дебютира тази седмица на видео. Така че, особено ако се интересувате в преследването на окончателен проект по някакъв начин свързани с изкуствен интелект, обработка на естествен език, дори роботика, да осъзнаят, че те ще бъде прекрасно вдъхновение за това. 

И само за да ви даде по-закачка на този, тук е самият Scaz. 

[Възпроизвеждане на видео] 

-Един От наистина страхотно неща за компютърни науки е, че дори и само с След няколко седмици на обучение, започваш да бъде в състояние да се разбере много от интелигентни артефакти и устройства, които населяват нашия модерен свят. В този кратък видеоклип серия, ние ще разгледаме в неща като как Netflix е в състояние да предложи и препоръча филми за да мога да обичам, как става така, че Siri може да отговори на въпросите, които имам, как е, че Facebook може да разпознае лицето ми и автоматично маркира ме в една снимка, или как Google е в състояние да изгради кола, която кара по себе си. 

Така че се надявам, че ще се присъедините към мен за този кратък серия от клипове, серия CS50 AI. Мисля, че ще откриете, че вие ​​знаете много повече, отколкото си мислите, че го направих. [END PLAYBACK] DAVID Malan: Така че тези, които ще се появят на уебсайт хода по-късно тази седмица. Останете на вълната. И в същото време, някои Съобщения за това, какво се крие напред. Така че ние сме тук. Това е в нашата лекция за сигурност. Това идва сряда, Scaz и Анди, главата ни учение колега в Ню Хейвън, ще бъде тук, за да разгледате изкуствен интелект себе си, за да поглеждат в изчисляването му communication-- как да се изгради системи, които използват език за комуникация от ELIZA, ако сте запознати с тази софтуер от недалечното минало, да Siri по-скоро и да Watson, които сте може да знае от Jeopardy или други подобни. 

Тогава следващия понеделник, ние сме не тук, в Кеймбридж. Ние сме в New Haven за втори Посетете изкуствен интелект с Scaz и company-- AI опоненти в игри. Така че, ако някога сте се играе срещу компютъра в някои видео игра или мобилна игра или други подобни, ние ще говори за точно как that-- за изграждане на съперника за игри, как се представят нещата Под предния капак се използва дърветата от игри като тик-так-палеца да шахмат за действителното модерна видео игри, както и. 

За съжаление, викторина едно е скоро след това. Повече подробности за които по CS50 е уебсайт по-късно тази седмица. И крайната ни лекция в Йейлския ще се окаже, че петък, след теста. И крайната ни лекция в Харвард ще бъде в понеделника след това, от природата на график. 

И така, от гледна точка на постижения, освен pset осем тази седмица; Отчет за състоянието, което ще бъде бърза проверка разсъдъка между вас и учението си колега; на Hackathon, които ще бъде тук в Кеймбридж за студенти от Ню Хейвън и Кеймбридж, така. Ние ще се погрижим за всичко транспорт от Ню Хейвън. Изпълнението на окончателния проект ще се дължи. И след това и за двата кампуса ще има ли CS50 справедлива която ни позволява да се вземат погледнете и наслада в това, което всеки е постигнал. 

Всъщност, мислех, че това ще бъде един добър време, за да привлече вниманието към това устройство тук, които сме използвали за някаква сума на време тук, което е хубаво докосване на екрана. И действително, последно година имахме $ 0.99 ап че сме изтеглили от приложението Windows съхранява, за да се направи на екрана. 

Но честно казано, това беше много затрупана. Това ни позволи да се възползва от екран, но имаше, като, много икони тук. Потребителският интерфейс е доста зле. Ако искате да промените определени настройки, имаше толкова много проклети кликвания. И потребителят interface-- или по-точно, потребителския experience-- беше доста под оптималното, особено при използването му в лекция среда. 

И така, ние се протегна до един наш приятел в Microsoft, Bjorn, които всъщност била следната заедно с CS50 онлайн. И тъй като последното му проект, същество, нали много благосклонно отнеме известно вход от нас като към точно функции и потребителски опит ние искаме. И той след това отиде за изграждане на за Windows тази заявка тук която ни позволява да draw-- oops-- и правописа на the-- уау. Благодаря. За да се направи и правописа на този екран тук с много минимална потребителски интерфейс. 

Така че сте ме видели, може би, натиснете нагоре тук все така леко, където сега ние да подчертае неща в червено. Ние можем да превключвате и сега отидете на бял текст тук. Ако искаме действително да изтриете екрана, можем да направим това. И ако ние действително предпочитат бели платна, които можем да направим това. Така че то прави това ужасно малко от дизайна и го прави добре. Така че аз futz, да се надяваме, далеч по-малко тази година в клас. 

И благодаря, също, да протеже на неговата Аз съм облечен днес малко пръстен. Това е Бенджамин, който е бил стажант с Бьорн това лято. Така че това е малко пръстен. Това е малко по-голям от обичайния ми пръстен. Но чрез малко по набиране на напречен тук мога действително преместете плъзгачите наляво и надясно, напред и обратно, и действително преминете неща безжично, така че, един, аз нямам да продължава напред, назад към бара пространство тук. И двамата, аз не трябва да има един от онези глупави Clickers и занимавам вниманието на ръката ми, като държите проклетото нещо през цялото време с цел да се просто да кликнете. И със сигурност, във времето, ще хардуера като това се супер, супер малък. 

Така че със сигурност, не се колебайте да мислят извън кутията и прави неща, и да се създаде неща, които дори не съществува още за окончателните проекти. Без повече приказки, погледнете какво очаква както ти се потопите в своя окончателен проекти на CS50 Hackathon 

[Възпроизвеждане на видео] 

[За възпроизвеждане на музика] 

[Хъркане] [END PLAYBACK] DAVID Malan: Добре. Така че клипът Стивън Колбърт че аз показа само преди миг всъщност беше по телевизията само преди няколко дни. И в действителност, няколко от другите клипове ние ще показваме днес са невероятно неотдавна. И в действителност, че говори за реалността, че толкова много от технологиите и, честно казано, много от идеите ние сме били говорим за в CS50 наистина са вездесъщи. И една от целите на Курсът има със сигурност да ви снабди с технически умения, така че всъщност можете да решават проблеми програмно, но две, така че всъщност можете да направите по-добри решения и да направи по-информирани решения. И в действителност, тематичен целия натиснете и онлайн видео и предмети тези дни е просто плашеща неразбиране или липса на разбиране за това как технологиите работи, особено сред политиците. 

И така наистина, в малко пускаме да разгледаме един от тези детайли, както добре. Но буквално продължи нощ бях седнал в Bertucci, на местно франчайз Италиански място. И аз се качил на своя Wi-Fi. И аз бях много успокоен да се види, че това е сигурно. И знаех, че тъй като той казва, тук "Secure Internet Portal" когато на екрана се изкачи. Така че това е най-малко ред който идва в Mac OS или в Windows когато се свържете към на Wi-Fi мрежа, за първи път. И аз трябваше да прочетете техните условия и условията и накрая щракнете върху OK. И тогава аз се оставя да продължи. 

Така че нека да започнем да преосмислят това, което всички това означава и да се вземат вече не за отпусната, което хората ни казват, когато ние тя се сблъскате с различни технологии. Така че, какво означава това, че това е една сигурна интернет портал? Какво би могло да Bertucci да ме успокои на? АУДИТОРИЯ: Пакетите изпратени напред и назад са криптирани. DAVID Malan: Добро. Пакетите се изпращат обратно и напред са криптирани. Е, че в действителност е така? Ако случаят беше такъв, какво щях трябва да направите, или какво би аз трябва да знам? Е, ще видите малко икона на катинар в Mac OS или в Windows казва, че наистина има някои криптиране или кодиране става. Но преди да можете да използвате криптирана портал или Wi-Fi връзка, това, което имате ли да обикновено напишете? A парола. Знам, че няма такава парола, нито съм написали всяка такава парола. Аз просто натиснах OK. Така че това е напълно безсмислено. Това не е сигурна интернет портал. Това е 100% несигурна интернет портал. Няма абсолютно никакъв криптиране става на, и всичко, което се прави я закрепете е, че три думи, фрази На екрана. 

Така, че не означава нищо, непременно, технологично. И малко по- тревожен, ако действително прочетете условията и по реда, които са изненадващо за четене, беше this-- "ви Разбирам, че си запазваме правото да се впишете или монитор трафик към осигурят тези условия се спазват. " Така че това е малко страховито, ако е Bertucci е гледам моя интернет трафик. Но най всяко споразумение, което вие сте кликнали на сляпо чрез е със сигурност каза, че преди. 

Така че това, което прави, че всъщност означава технологично? Така че, ако има някакъв зловещ човек или жена в гърба кой е, като, мониторинг всички интернет трафик, как е той или тя достъп тази информация по-точно? Какви са технологичните чрез което означава, че person-- или противник, още generally-- могат да се търсят в нашия трафик? 

Е, ако има не по криптиране, това, което всякакви неща можеха да помиришат, така да се каже, нещо като открива във въздуха. Какво бихте погледнете? Да? 

АУДИТОРИЯ: Пакетите се изпращат от компютъра към рутера? 

DAVID Malan: Да. Пакетите се изпращат от компютъра към вашия рутер. Така че можете да си спомните, когато ние бяхме в Ню Хейвън, минахме тези пликове, физически, цялата публика да представлява Ще данни чрез интернет. И със сигурност, ако бяхме хвърляне тях чрез публиката безжично да стигнат до местоназначението си, всеки може да нещо като го вземете и да направи копие от него и действително видите какво е вътрешността на този плик. 

И, разбира се, това, което е вътре в тези пликове е произволен брой неща, включително IP адреса че вие ​​се опитвате да достъп или името на хоста, като www.harvard.edu или yale.edu, че вие ​​се опитвате за достъп или нещо съвсем друго. Освен това, по пътя, too-- ли, че от pset шест, че вътре в HTTP заявки се получи наклонена черта something.html. Така че, ако сте на посещение определена страница, изтегляне на специфичен изображение или видеоклип, цялата тази информация е вътре в този пакет. И така, всеки, който има в кутията на Bertucci да гледаш, че същите тези данни. Е, какви са някои други заплахи в тази насока да се забравя, преди да Просто започнете приема като факт това, което някой като Bertucci е просто ти казва? Е, това беше article-- поредица от статии които се появиха само няколко месеца назад. All ярост тези дни са тези ултрамодерен интелигентни телевизори. Какво е умен телевизор, ако сте чувал за тях или да има един у дома? АУДИТОРИЯ: интернет свързаност? DAVID Malan: Да, интернет свързаност. Така че като цяло, смарт TV е TV с интернет свързаност и наистина креп потребителя интерфейс, който прави по-трудно за реално използване в интернет защото трябва да се използва, като, нагоре, надолу, наляво и надясно или нещо на дистанционното управление само за достъп до неща, които са толкова много, по-лесно да се направи на лаптоп. 

Но по-тревожен за смарт TV, и Samsung телевизори в този конкретен случай, беше, че Samsung телевизори и др тези дни идват с определен хардуер да се създаде това, което те твърдят, е добър потребителски интерфейс за вас. Така че, можете да говорите с някои от вашите телевизори тези дни, а не за разлика Siri или към някоя от други еквиваленти на мобилни телефони. Така че може да се каже команди, като смяна на канала, повишаване на силата на звука, изключете, или други подобни. Но какво е отражението на които логично? Ако имаш телевизора във вашата всекидневна стая или телевизора в подножието на леглото си да заспите да, какво е влиянието? Да? 

АУДИТОРИЯ: Може да има нещо влизам чрез механизма за откриване на речта си. DAVID Malan: Да. АУДИТОРИЯ: Това би могло да бъдат изпратени чрез интернет. Ако това е некриптиран, тогава това е уязвима. DAVID Malan: Наистина. Ако имате вграден микрофон в TV и неговата цел в живота е, още при проектирането, за да слушате за вас и да ви отговори, това е със сигурност щеше да бъде слушане на всичко, което казвате и след това, че превръщането на някои внедрени инструкции. Но уловката е, че повечето от тях Телевизори не са напълно сами умен. Те са много зависими от че интернет връзка. 

Толкова много, като Siri, когато говорите във вашия телефон, изпраща бързо, че данните в интернет, за да Apple сървъри, След това се връща отговор, буквално е Samsung телевизора и еквиваленти Просто изпращане всичко сте казвайки във вашата всекидневна или спалня за техните сървъри, само за да откриване каза той, включване на телевизора или изключите телевизора? И това, което Бог ми е свидетел друг може да се произнесе. Сега, има някои отношения за смекчаване на това, нали? Подобно на това, което прави и какво Siri Google прави и правят другите на най-малко защитава срещу този риск, че те са слушане на абсолютно всичко? Тя трябва да бъде активирана като кажа нещо харесват, хей, Siri, или хай Google или подобни или OK, Google или други подобни. 

Но ние всички знаем, че тези, изрази вид смучат, нали? Както аз бях просто sitting-- всъщност за последен път Бях на работното време в Йейл, мисля, Jason или на един от TFS остави да крещи, харесват, хей, Siri, хей, Siri и правеше моя телефон правят неща, защото той е твърде близко до реалното ми телефон. Но е вярно обратното, също. Понякога тези неща просто ножица върху защото е несъвършен. И наистина, физическо език processing-- разбиране начин на изразяване на човешки и След това прави нещо въз основа на it-- със сигурност е несъвършен. 

Сега, още по-лошо, някои от вас може би са видели или да има TV, където можете да направите глупави или нова ера неща като това да смените канала наляво или това да смените канала в дясно или намалете силата на звука или да увеличите силата на звука. Но какво означава това, че телевизорът има? Камера посочи Ви при всички възможни пъти. 

И всъщност, шумотевицата около Samsung Телевизори, за които те отне известно Флак е, че ако прочетете условията и състояния на TV-- нещото вие със сигурност никога не чете, когато разопаковате телевизора за първи time-- вградени там беше малко отказ от отговорност казвайки еквивалент на, а може да не искате да имате личен разговори в предната част на този телевизор. И това е, което тя намалява до. 

Но вие не трябва дори Трябва да се каже, че. Би трябвало да можете да заключим от реалността че микрофон и камера буквално сочейки към мен през цялото време Може би е по-лошо, отколкото добро. И честно казано, аз казвам това Не много лицемерно. Аз буквално трябва, освен тези камери, Имам съвсем мъничко камера тук в моя лаптоп. Имам още един тук. Имам в моята Cellphone и от двете страни. Така че да не би да я съборят по грешен начин, те все още могат да ме гледат и да ме изслуша. 

И всичко това може да бъде случва през цялото време. Така че това, което се спира моя iPhone или Android телефон от този начин през цялото време? Откъде знаем, че Apple и някои страховито лице в Google, не се слуша, за да това много разговор по телефона или разговорите Имам у дома или на работното място? 

АУДИТОРИЯ: Защото живота ни не са толкова интересни. 

DAVID Malan: Тъй като нашата живота не са толкова интересни. Това всъщност е валиден отговор. Ако ние не сме притеснени за конкретна заплаха, има нещо, което грижи аспект към него. Little стария ми не върви наистина да бъде цел. Но те със сигурност могат. 

И така, въпреки че сте въвели някои сирене неща на телевизори и филми, като, о, нека да включите решетката and-- като Батман прави това много, всъщност, и действително може да видите Gotham, какво е става с помощта на мобилните телефони на хората или други подобни. Част от това е малко футуристично, но ние сме почти там тези дни. 

Почти всички от нас са разхождате с GPS транспондери, че е Apple и Google казвам и всеки друг, който иска да знаем къде сме в света. Имаме микрофон. Ние имаме една камера. Ние казваш неща като Snapchat и други приложения на всички знаем, всичките си телефонни номера, всички от техните имейл адреси. И така отново, една от храна за вкъщи днес, надявам се, е най-малко на пауза малко преди просто сляпо казвайки: OK когато искате удобство на Snapchat знаейки, които всички ваши приятели е. Но напротив, сега Snapchat знае всеки, който познавате и всякакви малки бележки може да се са направени във вашите контакти. 

Така че това е една навременна, също. Няколко месеца по-назад, Snapchat себе си не е бил компрометиран. Но е имало някаква приложения на трети страни че е по-лесно да запазите щракне И уловът е че тази трета страна услуги е самата компрометирана, отчасти защото услугата е Snapchat поддържа функция, която те вероятно не трябва да има, което позволи този архивиране от трето лице. 

И проблемът е, че на архив на, като, 90000 щракне, мисля, бяха в крайна сметка компрометиран. И така, вие може да отнеме известно комфорт в неща като Snapchat е ефимерно, нали? Имате седем секунди, за да гледат на че неподходящо съобщение или бележка, и след това изчезва. Но едно, че повечето от вас вероятно щеше да измисли как да вземе скрийншота от предприятието, което е най-лесният начин да се заобиколи това. Но две, нищо не пречи на фирмата или лицето, което е в интернет прехващат, че данни, потенциално, както добре. 

Така че това е буквално Просто един ден или два преди. Това беше една хубава статия заглавие на уебсайт онлайн. "Epic Fail-- Мощност Worm Ransomware Случайно Унищожава Data Encryption на жертвата време. " Така че още един излъган от заглавия вид на нещо тук. Така че може да се наложи чували за зловреден софтуер, който е злонамерен software-- толкова лош софтуер че хората с прекалено много свободно време пиша. И понякога, той просто прави глупави неща, като изтриване на файлове или изпращане на спам или други подобни. 

Но понякога, и все по-често, това е по-сложно, нали? Всички вие знаете как да бъркам в криптиране. И Цезар и Vigenere Не са супер сигурна, но има и други такива, със сигурност, които са по-сложни. И така, какво е това противникът направи е написал парче зловреден софтуер че по някакъв начин заразил куп компютрите на хората. Но той беше нещо като идиот и Написах бъги версия на този зловреден софтуер така че, когато той или тя приложили code-- о, ние сме получавате много of-- съжалявам. Ние получаваме много хитове на микрофона. ДОБРЕ. 

Така че това, проблемът е, че той или тя написа някои лоши код. И така, те генерират псевдопроизволно ключ за шифроване с които да криптирате данни нечии злонамерено, и след това случайно хвърли далеч ключа за кодиране. Така че ефектът от това злонамерен софтуер не е по предназначение, да откуп нечии данни от криптиране си или твърд диск си и след това се очакваше $ 800 US в замяна за ключа за кодиране, като в този момент жертвата могъл разшифровате неговите данни. По-скоро лош човек просто криптирана всички данни, върху техния твърд диск, случайно заличава ключа за кодиране, и не получи пари от него. Но това означава също така, че жертвата е наистина е жертва, защото сега той или тя не могат да се възстановят някои от данните, освен ако те всъщност имат някои от старата школа резервно копие на това. 

Така че тук също е вид реалност че вие ​​ще прочетете за тези дни. И как може да се защитава срещу това? Е, това е цяло консерва червеи, не игра на думи, предназначени, за вируси и червеи и други подобни. И със сигурност има софтуер с която можете да се защитите. Но това е по-добре от само за да бъде умен за това. 

Всъщност, аз haven't-- това е една от това прави каквото ти казвам, а не както аз правя нещата, perhaps-- не съм наистина използва антивирусен софтуер от години защото, ако по принцип знам какво да за, можете да се защитава срещу най погледнем всичко по своему. И действително, навременна тук Harvard-- съществуваше грешка или проблем миналата седмица, където Harvard е ясно, като, мониторинга много мрежов трафик. И всички вие дори посещение на уебсайта на CS50 може да са придобили сигнал поговорка че не можете да посетите този сайт. Това не е сигурна. Но ако сте се опитали да посетите Google или други сайтове, също тези, също са несигурни. 

Това е, защото Харвард, също има някакъв вид система за филтриране който се държи под око върху потенциално злонамерени сайтове да ни помогне да се защитят срещу нас. Но дори и тези неща са ясно несъвършена, ако не и бъги, самите. 

Така here-- ако сте любопитни, аз ще оставете тези слайдове до online-- е действителната информация че противникът е дал. И той или тя е питам за в bitcoin-- която е виртуален currency-- $ 800 US действително да декриптира вашите данни. За съжаление, този е напълно осуетен. Така че сега ние ще разгледаме нещо по-политически. И пак, целта тук е да започне да мисли за това как можете да направите по-информирани решения. И това е нещо, случва в момента в Обединеното кралство. И това е една прекрасна Лозунгът от една статия за това. Великобритания въвежда, като ще видите, ново наблюдение законопроект, при която Великобритания е предлага да се следи всичко британците правят за срок от една година. И след това данните се изхвърля. Извадка, край на цитата: "Това би служат тирания добре. " 

Така че нека да погледнем с приятел на г-н Колбърт. 

[Възпроизвеждане на видео] 

-Welcome Дошли, добре дошли да "Миналата седмица Tonight". Благодаря ви много за присъединяването ни. Аз съм Джон Оливър. Точно навреме за бърз обзор на седмицата. И ние започваме с Великобритания, Малко магия царство на Земята. 

Тази седмица, дебат се води в продължение има над един спорен нов закон. 

-В British правителство е разгадаване на нови закони за надзор които значително да разшири своята власт да контролира изпълнението на дейностите на хората онлайн. 

-Theresa Май има призовава тя лиценз за работа. Други са го наричат чартърен SNOOPER, а не да имат те? 

-Е, Дръж се because-- SNOOPER си чартърен не е точното фраза. Това звучи като споразумение за осем-годишният е принудени да подпишат обещаващо да прати преди той да влезе в спалнята на родителите си. Dexter, подписват харта този SNOOPER или ние не може да бъде държана отговорна за това, което може да видите. 

Този законопроект може потенциално да напише в правото на огромен нахлуване в личния живот. 

-под Плановете, списък на сайтове посетен от всеки човек във Великобритания ще бъдат записани за една година и може да да бъде предоставена на полицията и сигурността услуги. 

-Това Комуникации данни не показват точното уеб страницата ви погледна, но това ще покаже на сайта, че е на. -ДОБРЕ. Така че това не би съхранявайте точна страницата, просто сайта. Но това е все още много информация. Например, ако някой посети orbitz.com, щеше да знаеш, че са мисля за като пътуване. Ако те посетиха yahoo.com, щеше знам, че те просто имали инсулт и забрави думата "Google". И ако те посетиха vigvoovs.com, щеше да знаеш, че те са възбудена и тяхната ключова B не работи. 

И все пак за всички метене правомощия законопроектът съдържа, Британският вътрешен министър Тереза ​​май настоява, че критиците са го издухани на пропорциите. 

-Ан рекорд интернет връзка е запис на комуникационната услуга че дадено лице е използвана, не рекорд на всяка уеб страница, те са достъпни. Това е просто съвременния еквивалент на подробните фактури телефон. 

-Да, Но това не е чак толкова спокойствие, колкото тя си мисли, че е. И аз ще ви кажа защо. Първо, аз не искам правителството погледнете в моя телефон призовава двамата. И от друга страна, интернет историята на сърфирането е малко по-различна от подробна телефонна сметка. Никой не трескаво изтрива си телефон законопроект всеки път, когато завърши на повикване. 

[END PLAYBACK] DAVID Malan: A модел на нововъзникващите за това, как да се подготвя за клас. Това е просто да гледате телевизия в продължение на седмица и да видим какво ще излезе, ясно. Така че това също беше само от последния вечер на "Миналата седмица Tonight". Така че нека да започнем да говорим сега относно някои от възраженията. Наистина, за нещо, като този, когато британците възнамеряват да водят дневник на този вид на данни, където може да го бъде, идващи от? Е, припомнят от pset шест, pset седем, осем и pset сега че вътре в тези виртуални envelopes-- поне за HTTP-- са съобщения, които изглеждат по този начин. И така, това съобщение, разбира се, е не само адресирана до конкретен IP адрес, които правителството тук или там със сигурност може да се впишете. Но дори и във вътрешността на този пакет е изрично споменаване на името на домейна че е се посети. И ако това не е просто наклонена черта, тя може в действителност да бъде определен име или специфично изображение или филм или, отново, нищо интерес за вас би могъл се със сигурност, ако заловено Всички мрежовия трафик е по някакъв начин да бъдат претеглени чрез правителствени сървъри, Както вече се случва в някои страни, или ако има са нещо неизвестно или неразкрити споразумения, както се е случвало вече в тази страна между някои големи players-- Интернет доставчиците и телефонните компании и на like-- и правителството. 

Така смешно story-- последния път аз избрах badplace.com разстояние от върха на главата ми като пример за една бегла уебсайт, аз всъщност не ветеринарен лекар преди това или не, че всъщност доведе до badplace.com. За щастие, този домейн Името е просто паркира, и това не е така в действителност доведе до badplace.com. Така че ние ще продължим да използвате, че един за сега. Но аз съм казал, че може да съм аванс много слабо този ден. 

Така че нека да започнем да говорим сега за някои защитни сили и какви дупки там Може дори да е в тях. Така пароли е вид на минаване да отговоря за много от защитни механизми, нали? Просто го защитят с парола, а след това че ще запази противниците навън. Но какво значи това всъщност означава това? 

Така извикайте от хакер две, обратно, ако сте решени that--, когато трябваше да се справи пароли в file-- или дори в проблем определя седем, когато ние ви даде SQL проба файл на няколко потребителски имена и пароли. Това бяха потребителските имена вас Видях, и тези бяха хешове че сме разпределени за хакер издание на проблем зададете две. И ако сте били чудех всичко това време какви са действителните пароли, това е, което в действителност, те да декриптира, което бихте могли да са напукани в pset две, или бихте могли да ги измисли игриво в проблем определя седем. Всички те имат някои надяваме сладък значение тук или в Ню Хейвън. 

Но Takeaway е, че всички от тях, най-малко тук, са доста кратко, доста guessable. Искам да кажа, въз основа на списък тук които са може би най-лесният да се справи, за да разбера от написването софтуер, който просто предположения и проверки, бихте ли казали? АУДИТОРИЯ: Password. DAVID Malan: Парола му доста добре, нали? И това е една just--, това е много често парола. В действителност, всяка година има списък на най-често срещаните пароли на света. И цитирам, край на цитата "парола" като цяло е на върха на този списък. Две, това е в речника. И знаеш ли от проблем определя пет, че това не е че hard-- може да бъде малко време consuming-- но това не е толкова трудно да се зареди голям речника в паметта и след това да го използвате, за да нещо като предположение и проверка всички възможни думи от речника. 

Какво друго би могло да бъде доста лесни за отгатване и проверка? Да? 

АУДИТОРИЯ: Повтарянето на писма. 

DAVID Malan: Повторението от символи и букви. Така вид вид. Така че, в fact-- и ние няма да отидат в голяма подробно here-- всички от тях са били осолени, които можете да си спомните, от проблем зададете документация седем му. Някои от тях имат различни соли. Така че в действителност можете да избегнете повторение на определени символи просто чрез осоляване паролите по различен начин. 

Но неща като 12 345, това е доста лесно нещо да се отгатне. И честно казано, проблемът с всички тези пароли е, че всички те са само с помощта на 26 възможни знаци, или може би 52 с някои главни букви, и след 10 букви. Аз не съм с някакви фънки герои. Аз не съм с нули за O или такива, за I или L'ите or-- ако някой от вас мислиш, че е умен, все пак, от като нулева за O в своята парола or-- OK, видях някой да се усмихне. Така че някой има нула за О в своята парола. 

Вие не сте действително е като умна, колкото си мислите, нали? Защото, ако повече от един от ни прави това в room-- и аз съм бил виновен за това като well-- добре, вид прави това, ако всички, какво прави противникът трябва да направя? Просто добавете нули и единици и няколко other-- може би четири крака за H's-- на неговата или нейната Арсенал и просто да се замества от писма за речникови думи. И това е само един допълнителен линия или нещо подобно. 

Така че наистина, най-доброто, защита за пароли е нещо много, много повече произволен сякаш след тях. Сега, разбира се, заплахи срещу пароли понякога включват имейли подобно. Така че аз буквално просто имам този в моята пощенска кутия преди четири дни. Това е от Бретан, който очевидно работи в harvard.edu. И тя ми написа като уеб-базирана поща на потребителя. "Ние просто Забелязах, че си поща акаунт е бил в системата на друг компютър на различно място, и вие трябва да се провери Вашата лична идентичност. " 

Така тематично в много имейли, като това, което са примери за фишинг attacks-- P-I-H-S-H-I-N-G-- където някой се опитва да лови риба и да получите някои информация от теб, обикновено чрез имейл като този. Но това, което са някои от сигнализатор признаци, че това не е в действителност, законен имейл от Университет Харвард? Какво е това? 

Така лоша граматика, на странно капитализация, как някои букви са капитализира в определени места. Има някаква странна отстъп след няколко места. Какво друго? Какво е това? Е, това със сигурност helps-- на голяма жълта кутия че казва, че това може да е спам от Google, която със сигурност е от полза. 

Така че има много издайнически знаци тук. Но реалността е това имейли трябва да работят, нали? Това е доста евтино, ако не са свободни, за да изпратите стотици или хиляди имейли. И това не е само чрез изпращане ги далеч от собствения си ISP. Едно от нещата, които злонамерен софтуер не са склонни да do-- така вируси и червеи, които случайно зарази или компютри, тъй като те имат е написана от един от най-adversaries-- неща, които те правят, е просто бълват спам. 

Така че това, което има не съществува в света, в действителност, са неща, наречени ботнет, което е луксозен начин на казвайки че хората с по-добро кодиране умения, отколкото на човек, който пише, че бъги версия на софтуера, действително са написани на софтуер че хора като нас unsuspectingly инсталирате на нашите компютри и след това да започне да работи зад кулисите, без знанието на нас. И тези, злонамерен софтуер програми общувам. Те образуват мрежа, ботнет ако щете. И като цяло, най- изискан от противниците има някакъв вид дистанционно контрол върху хиляди, ако не и десетки хиляди, на компютри чрез просто изпращане послание в интернет че всички тези ботове, така да се каже, са в състояние да чуят или понякога искане от някои централно място и след това може да се контролира, за да изпрати спам. 

И тези неща могат да бъдат спам просто продават на най-високата цена. Ако сте фирма или сортиране на ресни фирма че не ми пука за сортиране на етиката на спам вашите потребители но просто искате да ударен от един милион души и се надявам, че 1% от them-- която все още е а nontrivial номер на потенциала buyers-- всъщност можете да плащат тези противници в нещо като черен пазар на видове да изпрати тези спамове чрез своите ботнет за вас. 

Така достатъчно да се каже, че това не е особено убедителна имейл. Но дори и Harvard Yale и други подобни често правят грешки, в които ние знаем от няколко седмици гърба, които можете да направите линк кажа www.paypal.com. И изглежда, че отива там. Но, разбира се, това, всъщност не направи това. 

И така, Харвард и Йейл, а други имат със сигурност е виновен през годините при изпращането на имейли че са легитимни, но те съдържат хипервръзки в тях. И ние, като хора, са били обучени от сортиране на длъжностните лица, доста често, за да всъщност просто следвайте връзки, които получаваме в имейл. Но дори и това не е най-добрата практика. Така че, ако се някога се имейл харесват this-- и може би това е от Paypal или Харвард или Йейл или Банката на Америка или like-- вие все още не трябва да щракнете върху връзката, дори и ако тя изглежда легитимна. Можете ръчно да въведете , че URL себе си. И честно казано, това е, което системния администратор Трябва да се ни казва да се направи така, че ние не сме подмамени да прави това. 

Сега, колко от вас, може би като погледнете надолу към мястото си, са пароли записани някъде? Може би в едно чекмедже във вашата стая в общежитието или може би under-- в раницата някъде? Портфейл? Не? 

АУДИТОРИЯ: В случай на пожар и lockbox? 

DAVID Malan: В случай на пожар и lockbox? ДОБРЕ. Така че това е по-добре от една лепкава бележка на вашия монитор. Така със сигурност, някои от Вие не настоява. Но нещо ми подсказва, че е не е задължително да е така. Е, как за по-лесен, по-вероятно question-- колко от вас са с помощта на съща парола за множество сайтове? Ох добре. Сега ние сме честни. 

Всичко е наред. Така че това е прекрасна новина, нали? Защото, ако това означава, ако само един от тези, сайтове всичко, което използвате, е изложено на риск Сега противникът има достъп до повече данни за вас или повече потенциални подвизи. Така че това е лесна да се избегне. Но колко от вас имат доста guessable парола? Може би не е толкова зле, колкото това, но нещо? За някои глупав сайт, нали? Това не е висока степен на риск, не разполага с кредитна карта? Всички ние. Подобно, дори имам пароли, които вероятно са само 12 345, със сигурност. Така че сега се опитайте да влезете във всеки сайт можеш да се сетиш с malan@harvard.edu и 12345 и да проверите дали работи. 

Но ние правим това, също. Така че, защо? Защо толкова много от нас имат или доста лесни пароли или една и съща парола? Какво е най-реалния свят Основанията за това? По-лесно е, нали? Ако вместо това казах, академично, момчета трябва наистина да бъде избора пароли псевдослучайни, че са дълги поне 16 символа и да имат комбинация от буквите на, цифри и символи, които става, по дяволите да бъде в състояние да направи това, или помним тези пароли, да не говорим за всеки и всеки възможен сайт? 

Така че това, което е жизнеспособно решение? Е, един от най- Най-големият храна за вкъщи и днес, твърде, прагматично, ще да, честно казано, за да започнете използване на някакъв вид мениджър за пароли. Сега, има плюсове и недостатъци на тези неща. Това са две че са склонни да се препоръча в CS50. Един призова бутон 1Password. Един нарича LastPass. И някои от вас може да използва тези вече. Но това е като цяло по- парче от софтуер, който се улесни генериране голям пароли псевдослучайни, че сте не е възможно да се помни като човек. Тя съхранява тези, псевдослучайни пароли в неговата база данни, надявам се на локалния твърд drive-- криптирана, още по-добре. И всички вие, човекът, Трябва да се помни, обикновено, е една главна парола, която вероятно ще бъде супер дълго. И може би това не е произволни символи. Може би това е, като, присъда или кратък параграф, който можете да си спомните и можете да напишете един път на ден за отключване на вашия компютър. 

Така че можете да използвате един особено голям парола за защита и за криптиране всички други ваши пароли. Но сега вие сте в навик за използване на софтуер като това да генерира псевдослучайни пароли във всички от уебсайтовете посещавате. И наистина, аз мога комфортно кажа сега, през 2015 г., Аз не знам по-голямата част моите пароли вече. Знам, че моята главна парола, и аз написали, че несъзнателно, един или повече пъти на ден. Но посока нагоре е, че сега, ако има такива от моите сметки един е изложена на риск, няма начин някой да е ще използвате този акаунт да отида в друг, защото никой от ми пароли са същите вече. 

И със сигурност, никой, дори и ако той или тя пише състезателна софтуер до груба сила и неща Предполагам, че всичко е възможно passwords-- шансовете, че те ще изберете си 24-символни дълги пароли е точно толкова, толкова ниско, аз просто не съм притеснен за тази заплаха вече. 

Така че това, което е компромис тук? Това изглежда чудесно. Аз съм толкова много по-безопасно. Какво е компромис? Да? 

АУДИТОРИЯ: Time. DAVID Malan: Time. Това е много по-лесно да се написали 12,345 и аз съм логнат в сравнение с нещо, което е 24 знака, или на кратко параграф. Какво друго? 

АУДИТОРИЯ: Ако някой се разпада главната парола. DAVID Malan: Да. Значи вид се променя сценария на заплаха. Ако някой познае или цифри извърши или чете Post-то на бележката в защитен файл трезор, главната парола имате, сега всичко е изложено на риск при което преди това е може би само една сметка. Какво друго? 

АУДИТОРИЯ: Ако искате да използвате всеки от вашите акаунти на друго устройство и не е нужно LastPass [недоловим]. 

DAVID Malan: Да, това е вид на улова, също. С тези средства, също, ако не е нужно компютъра и вие сте в подобно, някои кафе или сте в дома на свой приятел или компютърна зала или където и да искате да влезете в Facebook, вие дори не знам какво вашия Facebook парола е. Сега понякога, можете да се смекчат като този от разтвор че ние ще говорим за в един момент наречено двуфакторна автентикация при което Facebook ще ви текст или ще изпрати специален криптирана съобщение към вашия телефон или някакъв друг устройство, което носите на вашия ключодържател с който можете да влезете. Но това е, може би, досадно, ако сте в мазето на центъра на науката или на друго място тук, в университета Ню Хейвън. Вие не може да има сигнал. И така, това не е задължително решение. Така че това наистина е един компромис. Но това, което аз бих Ви препоръчваме да се do-- ако отидете на уебсайта на CS50, ние всъщност уредил първата от тези фирми за лиценз на сайт, така да се каже, за всички студенти CS50 така че не трябва да плащат за $ 30 или поне така обикновено струва. За Mac-ове и Windows, можете да проверите 1Password безплатно на уебсайта на CS50, и ние ще те уредя с това. 

Осъзнайте, също така, че някои от те tools-- включително LastPass в една от неговата forms-- е базирана в облака, като Colbert казва, което означава, вашите пароли са encryptedly съхранява в облака. Идеята там е, че можете да отидете някои случайни човек или компютър приятел и влизане във вашия Facebook сметка или други подобни защото първо отидете lastpass.com, достъп до паролата си, и след това го написали инча Но това, което е сценарият на заплаха там? Ако сте съхраняване неща в облака, и вие сте достъп до този сайт по някакъв неизвестен компютър, какво може да се прави на вашия приятел за вас или да ви клавиши? ДОБРЕ. Ще бъда ръчно напредва пързалки сега нататък. 

Keylogger, нали? Друг тип зловреден софтуер е Keylogger, което е само една програма, която всъщност логва всичко сте написали. Така че там също това е може би по-добре да има някои вторично устройство като това. 

Така че това, което е двуфакторна автентикация? Както подсказва името, това е, което трябва не един, а два фактора, с които за удостоверяване на уеб сайт. Така че, вместо да използва само една парола, Имате ли някаква друга втория фактор. Сега, това обикновено означава, една, фактор е нещо, което знаете. Така че нещо вид в окото на ума, която е парола, която сте запомнил. Но две, не нещо друго че знаете или научили наизуст но нещо, което физически да има. Идеята тук е Вашата заплаха вече не може да бъде някои случайни човек в интернет, който може просто Предполагам, че или разбера паролата си. Той или тя трябва да има физическа достъп до нещо, което имаш, която все още е възможно и все още, може би, още повече физически заплашително. Но това е най-малко един различен вид заплаха. Това не е един милион безименни хора там се опитва да получи най вашите данни. Сега е много специфичен човек, може би, че ако това е проблем, това е Друг проблем напълно, както и. 

Така че като цяло съществува за телефони или други устройства. И, всъщност, Yale просто валцувани това от средата на семестъра, като че това не се отразява хора в тази стая. Но тези от вас, след заедно в Ню Хейвън знаете, че ако искате да влезете във вашия yale.net ID, в допълнение към писането си потребителско име и парола, което след това се появи подкана с това. И, например, това е скрийншот взех тази сутрин когато влезете в моя Yale сметка. И това ме изпраща равностойността на текстово съобщение до моя телефон. Но в действителност, Свалих един апартамент предварително, че Yale предприятието разпределя, и аз трябва да сега просто напишете в код, който те изпрати на моя телефон. 

Но за да бъде ясно, на обратно на това е, че сега, дори и ако някой разбере, ми Yale парола, аз съм в безопасност. Това не е достатъчно. Това е само един ключ, но аз нужда от две, за да отключите моя сметка. Но това, което е недостатък, може би, на система Йейл? И ние ще ви позволи Yale знам. Каква е недостатък? Какво е това? Ако не разполагате с клетъчна услуга или ако не разполагат с Wi-Fi достъп, защото сте само в мазе или нещо, може да не е в състояние да получи съобщението. За щастие, в този конкретен случай, това ще използва Wi-Fi или нещо друго, която работи около него. Но един възможен сценарий. Какво друго? Може да загубите телефона си. Ти просто не разполагат с него. Батерията умира. Искам да кажа, че има редица от досадни сценарии но възможните сценарии, които могат да се случат които ви карат да съжалявам за това решение. И възможно най-лошата изход, честно казано, тогава ще бъде за потребителите да деактивирате тази напълно. Така че има винаги ще да бъде това напрежение. И вие трябва да намерите за себе си като потребител на сортиране на сладко място. И за да направите това, вземете няколко на конкретни предложения. Ако използвате Google Gmail или Google Apps, знаем, че ако отидете на този адрес тук, можете да активирате двуфакторна удостоверяване. Google го нарича проверка 2-стъпка. И вие кликнете Setup и След това, което правите точно това. Това е добро нещо да се направи, особено тези дни, защото, благодарение на бисквитки, сте влезли в почти през целия ден. Така че рядко се налага да така или иначе въведете паролата си. Така че може да го направи веднъж седмично, веднъж месечно, веднъж на ден, и това е по-малко от една голяма справят, отколкото в миналото. 

Facebook също има това. Ако сте малко прекалено хлабав с писане вашия Facebook парола в приятели " компютри, най-малко позволи двуфакторна автентификация, така че, че приятел, дори и ако той или тя има един удар дървар, те не могат да влязат в профила си. Е, защо е това? Не може да те просто да влезете в Код съм въвели в телефона си че Facebook е изпратено до мен? АУДИТОРИЯ: [недоловим]. DAVID Malan: Да. Добре проектиран софтуер ще се промени с тези кодекси които са изпратени на Вашия телефон на всеки няколко секунди, или всеки път, и така че, да, дори и ако той или тя разбира, какъв е вашият код е, ти все още си безопасна, тъй като ще са изтекли. И това е това, което изглежда харесва на интернет страницата на Facebook. 

Но има и друг подход напълно. Така че, ако тези видове компромиси не са особено съблазнителен, общ принцип в областта на сигурността, ще да, добре, само на най-малко одит неща. Не вид сложи главата си в пясък и просто никога не се знае, ако или когато сте били компрометирани или атакувани. Поне създаде някакъв механизъм което ви информира незабавно ако нещо се е случило аномално така че да можете най-малко тесен прозореца от време, през които някой може да направи щети. 

И по това, искам да кажа на following-- в Facebook, например, можете да включите какво те наричат ​​сигнали за вход. И точно сега, аз съм включен имейл акаунта си сигнали, но не и уведомления. И какво означава това е, че ако обявления Facebook Аз бях логнат в нов computer-- като аз не разполагат с бисквитка, Това е различен IP адрес, това е различен тип computer-- те ще, в този сценарий, изпратете ми имейл казвайки, хей, Дейвид. Изглежда, че сте влезли в системата от непозната компютъра си, просто FYI. 

И сега сметката ми може да е излага на риск, или ми досадно приятел може да са били влезете в профила ми сега публикуване неща на моя емисия новини или други подобни. Но най-малко количеството време, с които съм в неведение, че е супер, супер тясна. И мога да се надяваме да отговори. Така че всичко, три от тях, бих да речем, са много добри неща за вършене. Кои са някои от заплахите които са малко по-трудно за нас крайните потребители да се предпазите от? Някой знае ли какво сесия отвличане е? Това е по-техническо заплаха, но много запознат Сега, когато сме направено pset шест и седем и сега осем. Така се припомни, че когато изпращате трафик по интернет, няколко неща се случват. Нека да вървим напред и да влезете в или c9 CS50.io. Дай ми само един миг, за да влезете в моя jHarvard сметка. 

АУДИТОРИЯ: Каква е вашата парола. 

DAVID Malan: 12345. Всичко е наред. И тук, знам, че ако отида напред и да направите заявка за уеб page-- и в същото време, нека да направим това. Позволете ми да се отворят инспектор на Chrome раздел и ми мрежов трафик. И нека да отидете на http://facebook.com и изчистване това. Всъщност, знаеш ли какво? Нека се върнем към по-запознат one-- https://finance.cs50.net и кликнете Въведете и влезте мрежовия трафик тук. 

Така че забележите тук, ако аз гледам в моя мрежовия трафик, отговор headers-- нека се тук. Отговор headers-- тук. Така че най-първата молба, че аз изпратено, която беше за страница по подразбиране, тя отговори с тези заглавки отговор. И ние говорихме за неща като местоположение. Подобно, местоположение означава, пренасочи към login.php. Но едно нещо, което не говори огромен сума, беше линии като този. Така че това е в рамките на виртуален пакет, който е изпратено от CS50 Finance-- редакцията вас, момчета написаха, too-- да лаптоп на потребителя или настолен компютър. И това е създаването на бисквитка. Но това, което е бисквитка? Помислете обратно към нашата дискусия на PHP. Да? Да, това е начин да кажете на уебсайт, че все още сте влезли инча Но как това работи? Е, при посещение finance.cs50.net, тя изглежда като че сървъра които реализирахме е създаване бисквитка. И това бисквитка е конвенционално обадете PHPSESSID сесия ID. И вие можете да мислите за него като виртуален handstamp в един клуб или подобно, увеселителен парк, малко парче на червено мастило, която отива на ръката си така че следващия път, когато посещавате порта, можете просто да покаже ръката си, и бияч на вратата да ви разочарова мине или изобщо не се основава на този печат. 

Така че последващото заявки, че навигаторът ми sends-- ако отида на следващото искане и погледнете заглавията на заявка, вие ще забележите повече неща. Но най-важното е това Осветената част here-- Не това бисквитка, но бисквитка. И ако аз прелистите всеки на тези последващи заявки HTTP, всеки път, когато ще видим ръка се удължава с това точно същото PHPSESSID, която е да се каже, това е най-mechanism-- този голям псевдослучайни number-- че сървър използва, за да поддържа илюзията от $ _SESSION обект на PHP, в която можете да съхранявате неща като ID на потребителя или това, което е в тяхната количка или всяка редица други парчета от данни. 

И така, какво е влиянието? Е, какво, ако това данни не е кодирано? И в действителност, ние за най- практика криптиране доста много всеки един от уебсайтовете CS50 е тези дни. Но това е много често те дни за уебсайтове неподвижни да не са в HTTPS началото на URL адреса. Те просто са HTTP, дебелото черво, наклонена черта наклонена черта. И така, какво е влиянието там? Това просто означава, че всички тези горни са вътре в този виртуален плик. И всеки, който помирисва въздуха или физически прихваща, че пакетът физически Посетете вътре и виж каква е тази бисквитка е. 

И така сесия отвличане е просто техника че противникът използва, за да помиришат данни във въздуха или на някои кабелна мрежа, Посетете вътре в този плик, и да видим, о. Виждам, че си бисквитка е 2kleu каквото. Нека да вървим напред и да направи копие от вашата ръка печат и сега започнете да посещавате Facebook или Gmail или каквото сам и просто да представи точно същия handstamp. А реалността е, браузъри сървъри наистина са, че наивни. Ако сървърът вижда, че същото бисквитка, неговата цел в живота трябва да бъде да се каже, о, че трябва да бъде Давид, които просто влезете в профила си преди малко. Нека покажем същия този потребител, предполага се, че Давид пощенска кутия или Facebook съобщения или нещо друго в която си логнат. 

И единствената защита срещу че е просто криптиране всичко вътре на плика. И за щастие, много сайтове харесва Facebook и Google и други подобни правите, че в днешно време. Но всеки, който не те оставя перфектно, перфектно уязвими. И едно от нещата, можете да do-- и един от най-хубавите черти, честно казано, на 1Password, софтуерът Споменах по-рано, е, ако го инсталирате на вашия Mac или PC, софтуер, освен съхранявате пароли, също ще да ви предупредя, ако някога се опита влезете в уеб сайт, който е Ще изпратим Вашето потребителско име и парола некриптиран и по-свободно, така да се каже. Всичко е наред. Така сесия отвличане свежда до това. Но има и този друг начин, че HTTP хедъри може да се използва, за да се възползват от нас. И това все още е вид проблем. Това е наистина просто очарователни извинете да се примири Cookie Monster тук. Но Verizon и AT & T и други се появиха много критики преди няколко месеца за инжектиране, без знанието на потребителите първоначално, допълнително HTTP хедър. 

Така че тези от вас, които са имали Verizon Wireless или AT & T клетъчната телефони, и сте били на посещение уебсайтове, чрез телефона си, без знанието на вас, след като си HTTP искания напускат Chrome или Safari или каквото и на телефона си, проверете да Verizon или AT & T е рутер, те самонадеяно за известно време са били инжектиране на глава, която изглежда като this-- чифт ключова стойност, когато ключът е само X-UIDH за единен идентификатор с глава, а след това някои големи случайна стойност. И те правят това, за да че те могат еднозначно определи кои от вашия уеб трафик към хората, получаващи вашата заявка HTTP. 

Сега, защо да го Verizon AT & T и и други подобни Искам да ви идентифицира еднозначно да всички сайтове посещавате? 

АУДИТОРИЯ: По-добро обслужване на клиентите. 

DAVID Malan: Better-- не. Това е една добра мисъл, но това е не и за по-добро обслужване на клиентите. Какво друго? Реклама, нали? Така те могат да изградят един рекламна мрежа, вероятно, при което дори ако изключихме бисквитки, дори и ако имате специален софтуер на телефона си че те държи в инкогнито mode-- ха. Не съществува режим инкогнито, когато мъж в middle-- буквално, Verizon или AT & T-- е инжектиране допълнителни данни, върху които вие нямате контрол, като по този начин се разкрива кой си ти, че да получената сайт отново и отново. 

Така че има начини да се откажат от това. Но тук също е нещо, че, честно казано, единственият начин да прокара обратно на това е да напусне превозвачът изцяло, деактивирайте го ако те дори ви позволява да, или, както се случи в този случай, направи доста малко суетене онлайн такава че компаниите, които действително отговарят. Това също е просто още очарователни възможност да покаже това. 

И нека да разгледаме, нека се каже, една или две финални заплахи. Така че ние говорихме за CS50 финансите тук. Така вие ще забележите, че ние имаме това сладко малка икона на бутона за влизане тук. Какво означава, ако аз вместо това използвайте тази икона? Така че, преди, след. Преди след. Какво прави след това? Това е защитен. Това е, което бих искал да мислите. Но по ирония на съдбата, тя е сигурна защото ние имаме HTTPS. 

Но това е, колко лесно е да се промени нещо, на интернет страница, нали? Всички вие знаете малко на HTML и CSS сега. И в действителност, това е доста Лесен to-- и ако не it-- направите, за да промените иконата. Но това също е това, компании са ни научили да правят. Така че ето един скрийншот от Bank на интернет страницата на Америка тази сутрин. И забележи, един, те са ме успокои, че е това е сигурен знак в най-горния ляв. И те също имат катинар икона на бутона, което означава, това, което ми се, крайният потребител? 

Наистина нищо, нали? Важното е фактът, че има голям зелено URL до върха с HTTPS. Но ако се фокусирам върху това, е просто като мен, знаейки малко на HTML и малко CSS, и каза: хей, моя сайт е защитен. Подобно, всеки може да се сложи катинар и Думата защитен вход за достъп към сайта им. И това наистина не означава нищо. Какво означава нещо е нещо като това, където можете да видите HTTPS: // факта, че Банк ъф Америка има тази голяма зелена лента, като има предвид, CS50 не стане, просто означава, те са платили няколкостотин долара повече да има допълнително проверка направено от техния домейн в САЩ, така че браузъри, които се придържат на този стандарт, също ще ни покаже малко повече от това. 

Така че ние ще оставим нещата по това, плашат ли малко повече не след дълго. Но в сряда, ние ще се присъединят Scaz от Yale за погледнем изкуствен интелект и какво можем да направим с тези машини. Ние ще ви видим следващия път.