[REPRODUCCIÓ DE MÚSICA] 

DAVID Malan: Aquest és CS50, i aquest és el començament de la setmana 10. I és possible que recordi això imatge d'un parell de setmanes enrere quan parlem de internet i com en realitat és implementat físicament. I es pot recordar que hi ha en realitat un munt de cables així com sense fils tecnologies que s'interconnecten tots els nodes o routers i altres aquest tipus de tecnologies a Internet. I molt d'això és underseas. 

Bé, resulta que els cables Underseas són una mica d'un objectiu. I la conferència d'avui és totalment per la seguretat, no només les amenaces que tots enfrontem físicament, sinó també de forma virtual, i també, cap al final de la cua Avui dia, algunes de les defenses que nosaltres com a usuaris poden realment posar al seu lloc. 

Però primer, un dels primer i threat-- potser el més físic [REPRODUCCIÓ DE VÍDEO] -Podria Rússia sigui la planificació un atac als cables submarins que es connecten a Internet global? 

Vaixells i submarins -Rus aguait cables submarins prop que porten gairebé tots d'Internet del món. 

Tota -El internet portat al llarg d'aquests cables. 

-En Primer lloc, quin és la Internet fent sota l'aigua? Que jo sàpiga, no estic suposa que aconseguir el meu equip mullat. En segon lloc, si vostè em pregunta com internet viatja d'un continent a un altre, Jo he dit satèl·lits o raigs làser, o bé, amb honestedat, Probablement tindria Només va dir internet. 

¿I què va passar amb el núvol? Em van dir que hi havia un núvol. Recordes? Hey, anem a posar que en el núvol. Era com l'internet era un vapor de la informació que envolta la Terra, i el seu equip era com un cullerot que arrencava el que necessitaves. 

Però resulta que l'Internet és en realitat sota l'aigua a causa que aquests cables porten més de 95% de les comunicacions diàries d'internet. I ens preocupa d'intel·ligència que en moments de tensió o conflicte, Rússia podria recórrer a la ruptura d'ells. Seria la major interrupció al seu servei d'Internet ja que el seu veí de dalt posar una contrasenya al Wi-Fi. D'ACORD? Proveu el nom del seu gos. [FI DE REPRODUCCIÓ] DAVID Malan: Abans d'ara al algunes de les amenaces més virtuals, un parell d'anuncis. Així que els nostres amics un CrimsonEMS Actualment la contractació de nous tècnics d'emergències mèdiques, Tècnics Metges d'Emergència. I això és en realitat una cosa particularment a prop del meu cor. 

Fa molt de temps, Recordo estar en un Ikea poc després de la seva graduació, en realitat. I com jo estava sortint de la botiga, aquesta nen petit que estava en una cadira de passeig començat girant literalment blau. I ell s'estava ofegant en alguna peça d'aliment que tenia presumiblement quedat encallat a la gola. 

I la seva mare estava presa del pànic. Els pares de família al seu voltant van ser presa del pànic. I fins i tot jo, que tenia una mica de familiaritat amb el ccsme simplement per mitjà d'amics, completament congelar. I va ser només gràcies a alguna cosa com un socorrista de 15 anys d'edat que va passar per sobre i en realitat sabia què fer instintivament i va demanar ajuda i en realitat tirat de la noi de la cadira de passeig i de fet es va dirigir a la situació. 

I per a mi, això va ser un punt d'inflexió. I va ser en aquest moment moment en què vaig decidir, maleïda sigui, Necessito tenir el meu acte junts i realment saben com respondre-hi tipus de situacions. I pel que jo vaig obtenir una llicència fa anys com un EMT. I a través de l'escola de postgrau vaig fer em passeig en ambulància del MIT per a un cert període de temps, així com han mantingut la meva llicència des de llavors. 

I, de fet, fins ara, tots els del personal CS50 aquí a Cambridge en realitat estan certificats en RCP, així, per raons similars. Així que si vostè està en tot interessat en això, no hi ha Mai serà suficient temps en el dia per assumir alguna cosa nova. Però si vols un Any Nou resolució, no unir-se a aquests nois aquí o considerar arribar a la Creu Roja per a la certificació, ja sigui aquí oa New Haven, també. 

Així últim dinar del CS50 és aquest divendres. Així que si encara no has unir a nosaltres, o si que té i que desitja un cop més, no anar a la pàgina web de CS50 al omplir el formulari d'allà. Sàpiga, també, que els nostres amics en Yale, professor Scassellati, ha estat produint una IA, artificial la intel·ligència, la sèrie per a nosaltres que començarà a debutar aquesta setmana al vídeo. Així, especialment si vostè està interessat en la recerca d'un projecte final d'alguna manera relacionada amb la intel·ligència artificial, processament del llenguatge natural, robòtica fins i tot, s'adonen que aquests voluntat ser una inspiració meravellosa per això. 

I només per donar-li un teaser a això, aquí és el mateix Scaz. 

[REPRODUCCIÓ DE VÍDEO] 

-Un Dels realment grans coses de la informàtica és que amb fins i tot només un parell de setmanes d'estudi, seràs capaç d'entendre molts dels artefactes intel·ligents i dispositius que poblen nostre món modern. En aquest breu vídeo sèrie, anem a buscar en coses com la forma de Netflix és capaç suggerir i recomanar pel·lícules que pot ser que agrada, com és que Siri pot respondre a les preguntes que tinc, com és que Facebook pot reconèixer la cara i etiquetar automàticament mi en una fotografia, o com Google és capaç de construir un cotxe que condueix per si mateix. 

Així que espero que t'uneixis a mi per aquest breu sèrie de vídeos, la sèrie CS50 AI. Crec que trobareu que vostè sap molt més del que pensava que vas fer. [FI DE REPRODUCCIÓ] DAVID Malan: Així que aquells apareixerà en la pàgina web del curs finals d'aquesta setmana. Manténgase en sintonia. I mentrestant, uns pocs anuncis en quant al que ha de venir. Així que som aquí. Això està en la nostra conferència sobre seguretat. Aquest proper dimecres Scaz i Andy, els nostres companys de l'ensenyament cap a New Haven, estarà aquí per mirar inteligencia artificial si per un cop d'ull a càlcul per communication-- com construir sistemes que utilitzen el llenguatge per comunicar-se de ELIZA, si està familiaritzat amb aquest programari d'antany, a Siri i més recentment a Watson, que es podria saber de Jeopardy o similars. 

Llavors dilluns que ve, estem no aquí a Cambridge. Estem a New Haven per un segon mirar a la intel·ligència artificial amb Scaz i company-- Adversaris de IA en els jocs. Així que si alguna vegada has jugat en contra l'ordinador en un joc de vídeo o joc mòbil o similar, anem a parlar sobre exactament com que-- construir oponents per als jocs, com representar les coses sota dels arbres campana utilitzant de jocs com el tic-tac-toe als escacs a la moderna real videojocs, també. 

Tristament, el concurs és poc després. Més detalls sobre això en CS50 de pàgina web a finals d'aquest setmana. I la nostra última conferència a Yale voluntat ser que divendres després de la prova. I la nostra última conferència a Harvard serà el dilluns a partir de llavors, per la naturalesa de la programació. 

I així, en termes de fites, a més pset 8 aquesta setmana; informe d'estat, que serà un comprovació de validesa ràpida entre vostè i el seu company de l'ensenyament; la hackathon, que estarà aquí a Cambridge per a estudiants de New Haven i Cambridge per igual. Nosaltres ens encarreguem de tots transport des de New Haven. L'aplicació de la projecte final serà degut. I després dels dos campus ¿Hi haurà una fira CS50 que permet que prenguem mirin i delit en el que tothom ha aconseguit. 

De fet, vaig pensar que això seria una bona moment per cridar l'atenció sobre aquest dispositiu aquí, que hem utilitzat per una certa quantitat de temps aquí, que és una pantalla tàctil agradable. I, de fet, el passat any vam tenir una aplicació de $ 0,99 que hem descarregat des de l'aplicació de Windows emmagatzemar per tal de dibuixar a la pantalla. 

Però, francament, va ser molt desordenada. Ens va permetre basem en la pantalla, però no hi va haver, com, una gran quantitat d'icones aquí. La interfície d'usuari era bastant dolent. Si vostè vol canviar certs ajustos, només hi havia tantes maleïdes clics. I l'usuari interface-- o, més correctament, el experience-- usuari era bastant subòptima, especialment el seu ús en un entorn de conferència. 

I així arribem a terme a un amic nostre en Microsoft, Bjorn, qui en realitat és estat seguint juntament amb CS50 línia. I com el seu projecte final, en essència, oi molt gentilment prendre alguna entrada de nosaltres pel que fa a exactament les característiques i l'experiència de l'usuari volem. I després es va anar sobre la construcció per a Windows aquesta sol·licitud aquí que ens permet dibujar-- oops-- i lletrejar en ell-- wow. Gràcies. Per dibuixar i escriure en aquesta pantalla aquí amb interfície d'usuari molt mínim. 

Així que m'has vist, potser, toc per dalt aquí molt lleugerament on avui ens poden destacar les coses en vermell. Podem alternar i ara anar al text blanc aquí. Si volem eliminar realitat la pantalla, podem fer això. I si en realitat preferim un llenç blanc, podem fer això. Així ho fa terriblement poc pel disseny i ho fa bé. Així que jo Futz, amb sort, molt menys aquest any a la classe. 

I gràcies, també, a un protegit de la seva estic fent servir avui dia un petit anell. Es tracta de Benjamí, que era passanties en Bjorn aquest estiu. Així que és un petit anell. És una mica més gran que el meu anell de costum. Però a través d'una mica de marcar en el costat aquí puc realitat moure les diapositives de l'esquerra i la dreta, endavant i l'esquena, i de fet avançar les coses sense fil de manera que, un, no tinc de seguir anant a la barra d'espai aquí. I dos, que no ha de tenir una d'aquestes estúpides clickers i preocupar a la meva mà subjectant la maleïda cosa tot el temps per tal de simplement feu clic. I segurament, en el temps, ho farà el maquinari com aquest aconseguir super, super petit. 

Així que, sens dubte, no dubti pensar fora de la caixa i fer les coses i crear coses que ni tan sols existeix encara per als projectes finals. Sense més preàmbuls, un cop d'ull al que li espera com et submergeixis en la seva última projectes en el hackathon CS50 

[REPRODUCCIÓ DE VÍDEO] 

[REPRODUCCIÓ DE MÚSICA] 

[RONCS] [FI DE REPRODUCCIÓ] DAVID Malan: D'acord. Així que el clip de Stephen Colbert que vaig mostrar fa un moment era en realitat a la televisió fa tot just uns dies. I de fet, un parell dels altres clips anem a mostrar avui en dia són molt recents. I de fet, que parla de la realitat que tant de la tecnologia i, francament, una gran quantitat de les idees hem estat parlant en CS50 Realment són omnipresents. I un dels objectius de el curs és sens dubte per equipar-lo amb les habilitats tècniques així que pugui solucionar els problemes en realitat programació, sinó dos, de manera que en realitat es pot prendre millors decisions i prendre decisions més informades. I, de fet, en tota la temàtica premsa i vídeos i articles en línia en aquests dies és només una aterridora la incomprensió o la manca de la comprensió de com la tecnologia treballa, sobretot entre els polítics. 

I així, de fet, en només una mica anem a fer una ullada a un d'aquests detalls, tant be. Però literalment a durar nit estava jo assegut en Bertucci, un local d' franquícia lloc italià. I vaig pujar al seu Wi-Fi. I jo estava molt tranquil·litzar a veure que és segur. I jo sabia que perquè diu aquí "Secure Portal d'Internet" quan la pantalla es va acostar. Així que aquest era el petit símbol que ve en Mac OS o en Windows quan es connecta a una xarxa Wi-Fi per primera vegada. I vaig haver de llegir a través dels seus termes i les condicions i, finalment, feu clic a D'acord. I llavors es em va permetre continuar. 

Així que anem a començar a repensar el que tots això significa i ja no donen per assegut el que la gent ens diu quan ens trobar-se amb diversos tecnologia. Així que un, el que significa que aquest és un portal d'Internet segur? Què podria Bertucci es m'assegurava de? AUDIÈNCIA: Els paquets enviats d'anada i tornada són encriptades. DAVID Malan: Good. Els paquets que s'envien de tornada endavant i cap enrere estan xifrats. ¿Això és de fet el cas? Si aquest fos el cas, què faria jo han de fer o ho hauria de saber? Bé, vostè veuria una mica icona de cadenat a Mac OS o en Windows dient que en efecte, hi ha una mica de xifrat o lluitant passant. Però abans de poder utilitzar un xifrat connexió de portal o Wi-Fi, el que ¿Has d'escriure en general en? Una contrasenya. Sé que no hi ha tal contrasenya, ni ho escric qualsevol contrasenya. Simplement fa clic a D'acord. Així que això és completament sense sentit. Això no és un portal d'Internet segur. Es tracta d'un portal d'Internet insegura 100%. No hi ha absolutament cap encriptació anar endavant, i tot el que està fent que sigui segur és que la frase de tres paraules a la pantalla allà. 

Així que això no significa res, necessàriament, tecnològicament. I una mica més preocupant, si realment llegir a través dels termes i condicions, que són sorprenentment llegible, va ser esto-- "que Entenem que ens reservem el dret a registrar o monitoritzar el tràfic de assegurar que aquests termes s'estan seguint ". Així que això és una mica esgarrifós, si Bertucci és veure la meva tràfic d'Internet. Però la majoria de qualsevol acord que vostè ha fet clic a cegues a través ha dit que segur que abans. 

Llavors, què fa que realment significa tecnològicament? Així que si hi ha alguna cosa esgarrifós home o dona a l'esquena qui, com, monitoratge tot el tràfic d'Internet, com està ell o ella accedint que la informació exactament? Quins són els tecnològica significa través de la qual que persona: o adversari, més generally-- es pot mirar al nostre trànsit? 

Bé, si no hi ha xifrat, el que tipus de coses podien olorar, per així dir-ho, una mena de detectar en l'aire. Què et mira? Sí? 

AUDIÈNCIA: Els paquets que s'envien des de l'ordinador al router? 

DAVID Malan: Sí. Els paquets que s'envien des l'ordinador al router. Així que vostè pot recordar quan estàvem a New Haven, passem aquests sobres, física, tot el públic per representar les dades que va a través d'Internet. I per cert, si estiguéssim tirant a través de l'audiència sense fils per arribar al seu destí, qualsevol pot tipus d'agafar i fer una còpia de la mateixa i veure realment el que està dins d'aquest sobre. 

I, per descomptat, el que és dins d'aquests sobres és qualsevol nombre de coses, inclosa l'adreça IP que vostè està tractant de accés o el nom d'amfitrió, com www.harvard.edu o yale.edu que vostè està tractant accedir o alguna cosa completament diferent. D'altra banda, el camí, també- saps de conjunt de processadors de sis que a l'interior de les peticions HTTP són aconseguir something.html barra. Així que si vostè està visitant una pàgina específica, la descàrrega d'una imatge o de vídeo específic, tota aquesta informació està dins d'aquest paquet. I així ningú allà en llauna de Bertucci estar mirant que les mateixes dades. Bé, Quines altres amenaces al llarg d'aquestes línies ser conscients d'abans simplement començar a acceptar com un fet el que algú com Bertucci simplement et diu? Bé, això era una article-- una sèrie d'articles que va sortir amb prou feines uns mesos enrere. Tota la moda en aquests dies són aquests televisors intel·ligents nous. Què és un smart TV, si tens sentit parlar d'ells o tenen un a casa? AUDIÈNCIA: la connexió a Internet? DAVID Malan: Sí, connectivitat a Internet. Així que en general, una televisió intel·ligent és un TV amb connexió a Internet i un usuari realment horrible interfície que fa és més difícil d'usar en realitat la web perquè cal utilitzar, igual que, a dalt, avall, esquerra i dreta o alguna cosa en el seu control remot només accedir a coses que són tant més fàcilment fet en un ordinador portàtil. 

Però més preocupant sobre una televisió intel·ligent, i TV de Samsung en aquest cas particular, era que els televisors Samsung i altres aquests dies vénen amb cert maquinari per crear el que diuen és un millor interfície d'usuari per a vostè. Així que un, vostè pot parlar amb alguns dels seus televisors en aquests dies, no a diferència de Siri o qualsevol dels altres equivalents en els telèfons mòbils. Així que es pot dir comandes, com el canvi de canal, augmentar el volum, apagar, o similars. Però el que és la implicació que, lògicament? Si vostè té la televisió en el seu saló habitació o la televisió, als peus del seu llit per agafar el son a, ¿Quina és la implicació? Sí? 

AUDIÈNCIA: Pot haver alguna cosa entrar pel mecanisme per detectar el seu discurs. DAVID Malan: Sí. AUDIÈNCIA: Això podria ser enviats a través d'Internet. Si és sense xifrar, llavors és vulnerable. DAVID Malan: En efecte. Si tens un micròfon incorporat en una TV i el seu propòsit en la vida és, per disseny, per escoltar a vostè i respondre a vostè, que és, sens dubte serà escoltar tot el que dius i després traduir que a algunes instruccions incrustades. Però el problema és que la majoria d'ells Televisors no són intel·ligents perfectament a si mateixos. Són molt dependents La connexió a internet. 

Tant com Siri, quan vostè parla en el seu telèfon, envia ràpidament que les dades a través Internet als servidors d'Apple, després torna una resposta, literalment, és el Samsung TV i equivalents simplement enviar tot el que ets dient a la seva sala d'estar o al dormitori dels seus servidors només per detectar què va dir, encendre el televisor o apagar el televisor? I Déu sap el una altra cosa podria ser pronunciat. Ara, hi ha algunes maneres per mitigar això, oi? Igual que ho fa Siri i el fa Google i altres fan almenys a defensar- que el risc que són escoltar absolutament tot? S'ha de ser activat dient alguna cosa com, hey, Siri, o hi Google o similars, o bé, Google o similars. 

Però tots sabem que els expressions tipus de xuclar, oi? Com jo era sitting-- de fet l'última vegada Jo estava en hores d'oficina a la Universitat de Yale, al meu entendre, Jason o un dels TFS mantenen cridant, com, hey, Siri, hey, Siri i estava fent el meu telèfon fer coses perquè era massa proximal al meu telèfon real. Però el contrari és cert, també. A vegades les coses simplement expulsar el perquè és imperfecte. I, en efecte, natural processing-- idioma entendre el fraseig d'un ésser humà i després fer alguna cosa basat en it-- és sens dubte imperfecta. 

Ara, pitjor encara, alguns que podria haver vist o té un televisor on es pot fer coses estúpides o la nova era com aquest per canviar els canals cap a l'esquerra o això per canviar de canal a la dreta o baixar el volum o augmentar el volum. Però què vol dir el televisor té? Una càmera apuntant a vostè en tot moment possibles. 

I de fet, el brouhaha voltant de Samsung TV per al que va prendre una mica de Flack és que si vostè llegeix els termes i condicions del TV-- la cosa que certament mai llegeix al desembalar seu televisor per primera vegada-- incrustat allà era una mica disclaimer dient l'equivalent, 1 és possible que no volen tenir personal converses al davant d'aquest televisor. I això és el que es redueix a. 

Però vostè no ha de fins i tot necessiten que se'ls digui això. Vostè ha de ser capaç de inferir de la realitat que micròfon i la càmera literalment assenyalant a mi tot el temps potser és més mal que bé. I, francament, ho dic una mica hipòcritament. Jo, literalment, tinc, a més d'aquestes càmeres, Tinc una petita càmera diminuta aquí en el meu portàtil. Tinc una altra per aquí. Tinc el en el meu Cel·lular en ambdós costats. Així sigui que jo ho atribueixo pel camí equivocat, que encara em pot veure i escoltar-me. 

I tot això podria ser passant tot el temps. Llavors, ¿què ho impedeix meu iPhone o Android telèfon de fer això tot el temps? Com sabem que Apple i alguna persona esgarrifós a Google, no estan escoltant aquesta mateixa conversa a través del telèfon o converses Tinc a casa oa la feina? 

AUDIÈNCIA: A causa de que les nostres vides no són tan interessants. 

DAVID Malan: A causa de que el nostre vides no són tan interessants. Que en realitat és una resposta vàlida. Si no estem preocupats sobre una amenaça particular, hi ha una mena de qui té cura aspecte a la mateixa. Poc vell jo no vaig per ser realment un objectiu. Però certament podia. 

I així, tot i que es veu una mica coses cursis a TV i pel·lícules, com, oh, centrarem en la graella i- com Batman fa molt, en realitat, i pot veure Gotham, el que és passant a través dels telèfons mòbils de les persones o similars. Algunes que és una mica futurista, però estem gairebé aquí en aquests dies. 

Gairebé tots nosaltres són caminant amb GPS transponedors que és dient Apple i Google i tots els altres que vol saber on som en el món. Comptem amb un micròfon. Tenim una càmera. Li estem dient coses com snapchat i altres aplicacions de tots els que coneixem, tots els seus números de telèfon, totes les seves adreces de correu electrònic. I així, un cop més, un dels robatoris de pilota avui en dia, amb sort, és almenys de pausa una mica abans només dir cegament, OK quan es desitja que el comoditat de snapchat sabent que tots els seus amics és. Però al revés, ara snapchat sap tots els seus coneguts i qualsevol petites notes que podria han fet en els seus contactes. 

Així que això va ser molt oportú, també. Fa uns mesos, snapchat si no es vegi compromesa. Però hi havia hagut alguna aplicacions de tercers que va fer més fàcil per guardar encaix I la captura va ser que aquest servei de tercers anar al seu torn compromesos, en part, perquè el servei de snapchat donat suport a una característica que probablement no hauria de tenir, el que va permetre aquesta arxivat per un tercer. 

I el problema és que un arxiu de, com a, 90.000 fermalls de pressió, crec, van ser en última instància compromesa. I pel que podria prendre una mica de consol en coses com snapchat ser efímer, Oi? Vostè té set segons per mirar aquest missatge inadequat o una nota, i després desapareix. Però, la majoria de vostès probablement han descobert com prendre captures de pantalla a hores d'ara, que és la forma més fàcil d'eludir això. Però dos, no hi ha res que la empresa o la persona que està a Internet que interceptin dades, potencialment, també. 

Així que això era, literalment, només un dia o dos enrere. Aquest era un bon titular d'un article en un lloc web en línia. "Cuc èpica Fail-- Poder Ransomware destrueix accidentalment Dades de la víctima durant el xifrat ". Així que una altra esquinçat de la titulars tipus de coses aquí. Així que vostè pot ser que tingui sentit parlar de malware, que és tan dolent programari maliciós software-- que les persones amb massa temps lliure escriure. I de vegades, només fa coses estúpides com esborrar arxius o enviar correu brossa o similars. 

Però a vegades, i cada vegada més, és més sofisticada, oi? Tots vostès saben com incursionar en el xifrat. I César i Vigenère No són super segur, però hi ha altres, sens dubte, que són més sofisticats. I així ho va fer aquest adversari es va escriure una peça de malware que d'alguna manera infectat un manat d'ordinadors de les persones. Però ell era una mena d'idiota i va escriure una versió amb errors d'aquest malware de tal manera que quan ell o ella implementem el code-- oh, estem rebent una gran quantitat de-- ho sento. Estem rebent una gran quantitat de realitza en el micròfon. D'ACORD. 

Així que el que el problema era que ell o ella va escriure algunes males codi. I pel que generen pseudo una clau de xifratge amb la qual per xifrar les dades d'algú maliciosament, i després va tirar accidentalment la clau d'encriptació. Per tant l'efecte d'aquesta malware no es com es pretén, a les dades de rescat d'algú per xifrar el seu disc dur i després esperar $ 800 Estats Units a canvi per a la clau de xifrat, en el punt la víctima va poder desxifrar les seves dades. Més aviat, el dolent de la pel·lícula, simplement totes les dades xifrades en el seu disc dur, per accident eliminat la clau de xifrat, i no vaig aconseguir diners fora d'ell. Però això també significa que la víctima és realment una víctima perquè ara ell o ella no pot recuperar qualsevol de les dades a menys en realitat tenen alguns de la vella escola còpia de seguretat de la mateixa. 

Així que aquí també és una espècie de realitat que vostè va a llegir en aquests dies. I com es pot defensar contra això? Bé, això és una llauna sencera de cucs, sense joc de paraules, sobre els virus i cucs i similars. I no hi ha dubte programari amb el qual pots defensar-te. Però millor que això és només per ser intel ligent sobre això. 

De fet, jo haven't-- aquest és un aquests fan el que jo dic, no el que faig les coses, perhaps-- No he utilitzat realment programari antivirus en l'any perquè si vostè generalment sap què cercar, pot defensar-se contra la majoria tot pel seu compte. I, de fet, oportuna aquí a Harvard-- hi va haver un error o un problema la setmana passada, on Harvard és clarament, com, seguiment d'un munt de trànsit de xarxa. I tots vostès encara visitar el lloc web del CS50 podria haver aconseguit una dita d'alerta que no es pot visitar aquest lloc web. No és segur. Però si es va tractar de visita Google o en altres llocs, també, els que, també, eren insegurs. 

Això es deu a la Universitat de Harvard, també, té algun tipus de sistema de filtració que és mantenir un ull en llocs web potencialment perillosos per ajudar a protegir-nos contra nosaltres. Però fins i tot aquestes coses són clarament imperfecta, si no amb errors, si. 

Així aquí-- si tens curiositat, vaig a deixar aquestes diapositives fins online-- és la informació real que l'adversari va donar. I ell o ella era demanant en bitcoin-- que és un currency-- virtual de $ 800 Estats Units per desxifrar realment les seves dades. Desafortunadament, aquest va ser completament frustrat. Així que ara anem a veure una mica més polític. I de nou, l'objectiu aquí és per començar a pensar en com vostè pot prendre decisions més informades. I això és una cosa succeint actualment al Regne Unit. I això va ser un lema meravellós d'un article sobre això. El Regne Unit està introduint, com ja veuràs, una nova vigilància projecte de llei pel qual el Regne Unit és proposant per monitoritzar tot el els britànics ho fan per un període d'un any. I llavors les dades es llança cap a fora. Ho van dir ells, "seria servir a una tirania bé ". 

Així que anem a fer una ullada a un amic del senyor Colbert. 

[REPRODUCCIÓ DE VÍDEO] 

-Benvingut, Benvingut, benvingut a "La setmana passada aquesta nit." Moltes gràcies per acompanyar-nos. Sóc John Oliver. El temps just per a un resum ràpid de la setmana. I vam començar amb el Regne Unit, Magic Kingdom menys de la Terra. 

Aquesta setmana, el debat s'ha desfermat sobre hi ha més d'una nova polèmica llei. 

-El Govern britànic és noves lleis de vigilància revelant que s'estenen de manera significativa el seu poder per supervisar les activitats de les persones en línia. 

-Theresa Maig hi diu una llicència per operar. Altres l'han anomenat un Carta de tafaner, no ha de? 

-Bé, Espera SNOOPER de porque-- Carta no és la frase correcta. Això sona com el acord d'un nen de vuit anys d'edat, és obligat a signar la promesa de noquejar abans d'entrar al dormitori dels seus pares. Dexter, signar la carta d'aquest tafaner o no podem ser responsables del que és possible que vegi. 

Aquest projecte de llei podria potencialment escriure en llei una gran invasió de la privacitat. 

-Baix Els plans, una llista de llocs web visitat per totes les persones al Regne Unit es gravarà durant un any i podria posar-se a disposició de la policia i la seguretat serveis. 

-Aquest Comunicacions dades no revelarien la pàgina web exacta miraves, però seria mostrar el lloc que estava. -D'ACORD. Així que no seria emmagatzemar el pàgina exacta, només el lloc web. Però això és encara un munt d'informació. Per exemple, si algú visitat orbitz.com, sabries que eren pensant en fer un viatge. Si van visitar yahoo.com, estaries saber que acaba de tenir un accident cerebrovascular i es va oblidar la paraula "google". I si van visitar vigvoovs.com, sabries que són divertida i la seva clau B no funciona. 

I tot i amb tot l'escombrat poders el projecte de llei conté, Secretari de l'Interior britànic, Theresa May insisteix que els crítics han bufat cap a fora de la proporció. 

Registre de connexió a Internet -Un és un registre del servei de comunicació que una persona ha utilitzat, no un registre de totes les pàgines web que han accedit. És simplement l'equivalent modern d'una factura de telèfon detallada. 

-Sí, Però això no és tan tranquil·litzador com ella pensa que és. I et diré per què. En primer lloc, jo no vull que el govern mirant el meu telèfon diu tampoc. I en segon lloc, una Internet historial de navegació és una mica diferent de una factura de telèfon detallada. Ningú elimina frenèticament el seu telèfon projecte de llei cada vegada que acaba una trucada. 

[FI DE REPRODUCCIÓ] DAVID Malan: emergeix un patró de pel que fa a com em preparo per a la classe. És només per veure la televisió durant una setmana i veure el que surt, amb claredat. Així que, també, era només de passada nit en "La setmana passada aquesta nit." Així que anem a començar a parlar ara sobre algunes de les defenses. De fet, per a alguna cosa com aquest, on els britànics es proposa mantenir un registre d'aquest tipus de les dades, on pot ser que es ve? Bé, record del conjunt de processadors de sis, pset 7, i conjunt de processadors de vuit ara que a l'interior dels virtual envelopes-- almenys per HTTP-- són missatges que s'assemblen a això. I així aquest missatge, per descomptat, no és només dirigida a una adreça IP específica, que el govern aquí o allà sens dubte podria iniciar la sessió. Però fins i tot dins d'aquest sobre és una menció expressa del nom de domini que està sent visitat. I si no es tracta només ratlla vertical, que en realitat podria ser un nom de fitxer específic o una imatge o una pel·lícula específica o, de nou, res de interès per a vostè podria que sens dubte interceptat si tot el tràfic de xarxa d'alguna manera s'està proxy a través de servidors governamentals, com ja passa en alguns països, o si hi ha són una mena de desconeguts o acords no revelats, com ha passat ja en aquesta país entre algunes grans players-- ISPs i empreses de telefonia i el com-- i el govern. 

Tan divertit història- l'última vegada que vaig triar badplace.com de la part superior del meu cap com un exemple d'un incomplet pàgina web, no ho vaig fer realitat veterinari per endavant si o no que en realitat portat a una badplace.com. Afortunadament, aquest domini nom és simplement estacionat, i no ho fa realitat conduir a una badplace.com. Així que seguirem l'ús que un per ara. Però m'han dit que podria haver petardeig molt malament aquest dia en particular. 

Així que anem a començar a parlar ara sobre certes defenses i què forats allà fins i tot podria estar en ells. Així contrasenyes és una espècie de la go-per respondre per a una gran quantitat de mecanismes de defensa, no? Només protegir amb contrasenya, a continuació, que mantindrà els adversaris a terme. Però, què vol dir això realment? 

Així recordarà del pirata informàtic 2, de tornada si vostè abordar que-- quan calia desxifrar contrasenyes en un file-- o fins i tot en un problema establir set anys, quan li donem una mostra de SQL arxiu d'alguns noms d'usuari i contrasenyes. Aquests eren els noms d'usuari que van veure, i aquests van ser els hashes que distribuïm per al edició pirata del problema va fixar dos. I si vostè ha estat preguntant tot això temps ho van ser les contrasenyes reals, això és el que, de fet, que a desxifrar, que que podria haver esquerdat en conjunt de processadors de dos o vostè podria haver imaginat ells juguetonamente al problema d'establir 07:00. Tots ells tenen alguns amb sort significat valent aquí oa New Haven. 

Però el menjar per emportar és que tots ells, almenys aquí, són bastant curt, força endevinar. Vull dir, d'acord amb la llista aquí, que són potser els més fàcils de rosegar, esbrinar per escrit programari que només conjectures i els xecs, Què li diries? AUDIÈNCIA: Clau. DAVID Malan: Contrasenya de bastant bo, no? I és una sol--, és una contrasenya molt comuna. De fet, cada any hi ha una llista de les contrasenyes més comunes al món. I cita, "password" fi de la cita és generalment alt d'aquesta llista. Dos, que és al diccionari. I vostè sap d'un problema va fixar cinc que no és hard-- que podria haver-hi una poc consuming-- temps però no és tan difícil de carregar un gran diccionari en la memòria i després utilitzar-lo per tipus de conjectura i verificació totes les paraules possibles en un diccionari. 

Quina altra cosa podria ser bastant fàcil d'endevinar i comprovar? Sí? 

AUDIÈNCIA: La repetició de lletres. 

DAVID Malan: La repetició de símbols i lletres. Així que tipus de classe de. Així que, en fact-- i no entrarem en gran detall aquí-- tots ells van ser salat, que es pot recordar de problema conjunt de documentació de set. Alguns d'ells tenen diferents sals. Així que en realitat es podria evitar haver repetició de certs personatges simplement mitjançant salaó les contrasenyes de manera diferent. 

Però coses com 12.345, això és una cosa bastant fàcil d'endevinar. I, francament, el problema amb totes aquestes contrasenyes és que tots estan fent servir només 26 possibles caràcters, o potser 52 amb una mica de majúscules, i després 10 lletres. No estic fent servir qualsevol caràcter covard. No estic fent servir zeros per O dels o perquè jo d'o L's o- si algun de vostès Creus que estàs sent intel·ligent, però, per que té un zero per una O en la seva contrasenya o-- OK, vaig veure somriure a algú. Així que algú té un zero per La O en la seva contrasenya. 

No està realment estar com intel·ligent com vostè podria pensar, no? Perquè si més d'un ens està fent això al habitació-- i jo he estat culpable d'això com bé-- així, una mena de fer això de si tot el món, ¿Què fa l'adversari ha de fer? Només ha d'afegir zeros i uns i un parell de altre-- potser quatre potes per H's-- al seu arsenal i acaba de substituir els lletres de les paraules del diccionari. I és només un addicional llaç o alguna cosa per l'estil. 

Així que en realitat, la millor defensa de les contrasenyes és una cosa molt, molt més random-semblant llavors aquests. Bé, és clar, les amenaces contra contrasenyes de vegades inclouen missatges de correu electrònic per l'estil. Així que, literalment, només vaig aconseguir aquest en la meva safata d'entrada de fa quatre dies. Es tracta de Bretanya, que aparentment treballa en harvard.edu. I ella em va escriure com usuari de correu web. "Acabem adonat que el seu correu electrònic compte es registra en un altre equip a un altre lloc, i ets per verificar seva identitat personal ". 

Així temàtica en molts missatges de correu electrònic com això, que són exemples de phishing attacks-- P-H-I-S-H-I-N-G-- on algú està intentant pescar i aconseguir una mica de informació de tu, generalment per un correu electrònic com aquest. Però ¿quins són alguns dels delator senyals que això no és, de fet, un correu electrònic legítim de La Universitat de Harvard? Què és això? 

Així mala gramàtica, la capitalització rar, com algunes cartes són capitalitzat en certs llocs. Hi ha una mica de sangria estranya en un parell de llocs. Què més? Què és això? Bé, això sens dubte helps-- la caixa groga gran que diu que això podria ser el correu brossa Google, que és sens dubte útil. 

Així que hi ha un munt de signes reveladors aquí. Però la realitat és això correus electrònics han de treballar, oi? És bastant barat, si no és lliure, per enviar centenars o milers de missatges de correu electrònic. I no és només mitjançant l'enviament fora del seu propi ISP. Una de les coses que malware es tendeix a fer-- així que els virus i cucs que accidentalment infectar ordinadors o perquè no tenen estat escrit per adversaries-- un dels el que fan és simplement batre cap a fora spam. 

Així que el que sí que hi ha en el món, de fet, són coses anomenades botnets, que és una forma elegant de dir que les persones amb una millor codificació habilitats que la persona que va escriure que la versió amb errors de programari, han programari de realitat escrit que la gent com nosaltres sense sospitar res instal·lar en els nostres ordinadors i després començar a córrer darrere les escenes, sense saber-ho nosaltres. I els programes maliciosos programes intercomuniquen. Ells formen una xarxa, una botnet si es vol. I, en general, la més sofisticada d'adversaris té algun tipus de control remot a través de milers, si no desenes de milers, de les computadores per només l'enviament un missatge a l'Internet que tots aquests bots, per així dir-ho, són capaços de sentir o de tant en tant sol·licitud d'algun lloc central i després es pot controlar per enviar correu brossa. 

I aquestes coses d'spam poden ser acaba de vendre al millor postor. Si ets una empresa o tipus d'una empresa marginal que en realitat no es preocupen per la espècie d'ètica de correu brossa als seus usuaris però el que desitja arremès contra un milió de persones i esperar que l'1% de ells-- que segueix sent un nombre no trivial del potencial buyers-- en realitat es pot pagar aquests adversaris en el tipus de mercat negre de classes per enviar aquests missatges de correu brossa a través de les seves xarxes de bots per a vostè. 

Així que n'hi ha prou amb dir, això no és un correu electrònic especialment convincent. Però fins i tot Harvard i Yale i similars sovint cometre errors, en aquest sabem per unes setmanes esquena que es pot fer una enllaç dir www.paypal.com. I tot apunta que hi va. Però, és clar, en realitat no fer això. 

I així de Harvard i Yale i altres tenen Certament estat culpables en els últims anys en l'enviament de missatges de correu electrònic que són legítims, però contenen hipervincles en ells. I nosaltres, com a éssers humans, hem estat entrenat per espècie dels funcionaris, molt sovint, en realitat només has de seguir enllaços que rebem en un correu electrònic. Però fins i tot això no és la millor pràctica. Així que si mai tens un correu electrònic com esto-- i potser és per Paypal o Harvard o Yale o Bank of America o el com-- encara ha de no fer clic l'enllaç, tot i que sembli legítim. Vostè ha d'escriure manualment que l'URL vostè mateix. I, francament, això és el que l'administrador del sistema ha de dir-nos de fer perquè no estem enganyats per fer això. 

Ara, quants de vostès, potser mirant cap avall en el seu seient, han contrasenyes escrites en algun lloc? Potser en un calaix del seu dormitori o potser under-- en una motxilla en algun lloc? Moneder? No? 

AUDIÈNCIA: En una caixa de seguretat a prova de foc? 

DAVID Malan: En una caixa de seguretat a prova de foc? D'ACORD. Així que això és millor que una nota adhesiva en el seu monitor. Així que sense dubte, alguns vostè està insistint no. Però alguna cosa em diu que està no necessàriament el cas. Així que què hi ha d'una manera més fàcil, més probable pregunta-- Quants de vostès estan utilitzant el mateixa contrasenya per a diversos llocs? Oh d'acord. Ara estem sent honestos. 

Tot bé. Així que això és una notícia meravellosa, oi? Perquè si això significa si només un dels llocs que tot estigui utilitzant es veu compromesa, ara adversari té accés a més dades sobre tu o més qualsevol possible intrusió. Així que aquesta és una tasca fàcil d'evitar. Però, quants de vostès tenen un contrasenya bastant endevinar? Potser no és tan dolent com això, però alguna cosa? Per algun lloc estúpida, oi? No és d'alt risc, no té una targeta de crèdit? Tots nosaltres. Igual que, tot i tinc contrasenyes que són probablement només 12.345, sens dubte. Així que ara tractar d'iniciar sessió en tots els llocs web que es pugui imaginar amb malan@harvard.edu i 12.345 i veure si funciona. 

Però fem això, també. Així que per què? Per què tants de nosaltres tenim ja sigui bonica contrasenyes fàcils o les mateixes contrasenyes? Quin és el món real Justificació d'això? És més fàcil, no? Si he dit lloc, acadèmicament, nois realment hauria de ser l'elecció contrasenyes pseudoaleatoris que són almenys 16 caràcters de longitud i tenen una combinació de lletres alfabètiques, números i símbols, ¿Qui dimonis va per ser capaç de fer això o recordar les contrasenyes, i molt menys per a tots i cada lloc web possible? 

Llavors, què és una solució viable? Bé, un dels menjar per emportar avui major, també, de manera pragmàtica, ho faria ser, de veritat, per començar l'ús d'algun tipus de gestor de contrasenyes. Ara, hi ha aspectes positius i desavantatges d'aquestes coses, també. Aquests són dos que tendeixen a recomanar a CS50. Un de trucada botó 1Password. Un es diu LastPass. I alguns de vostès podrien utilitzar aquests ja. Però és generalment una peça de programari que no facilitar la generació de grans contrasenyes pseudoaleatoris que no és possible que recordi com un ésser humà. Emmagatzema els pseudoaleatorio contrasenyes en la seva pròpia base de dades, esperem que en el disc local, drive-- encriptada, millor encara. I tot el que l'ésser humà, cal recordar, normalment, és una contrasenya mestra, que probablement serà molt llarga. I potser no és caràcters aleatoris. Potser és, com, una frase o un paràgraf curt que pugui recordar i vostè pot escriure una vegada al dia per desbloquejar l'equip. 

Així que utilitza una especialment gran contrasenya per protegir i encriptar totes les seves altres contrasenyes. Però ara estàs en el hàbit d'usar el programari com aquest per generar pseudoaleatorio contrasenyes a través de tots els llocs web vostè visita. I, de fet, no puc còmodament diuen ara, el 2015, No sé la majoria de les meves contrasenyes més. Sé que la meva contrasenya mestra, i jo escric que, sense saber-ho, una o més vegades al dia. Però el millor és que ara, si escau dels meus comptes un es veu compromesa, no hi ha manera que algú és utilitzarà aquest compte per entrar en una altra, perquè cap de les meves contrasenyes són el mateix. 

I certament, ningú, fins i tot si ell o ella escriu el programari acusatori a la força bruta i coses Suposo possible passwords-- les probabilitats que van a triar els meus 24 caràcters contrasenyes llargues és tan, tan baixa que no estic preocupat per l'amenaça més. 

Quina és la disjuntiva aquí? Això sembla meravellós. Estic molt més segur. Quin és l'equilibri? Sí? 

AUDIÈNCIA: Temps. DAVID Malan: Temps. És molt més fàcil escrigui 12345 i estic connectat en comparació amb alguna cosa que és 24 caràcters o un paràgraf curt. Què més? 

AUDIÈNCIA: Si algú trenca la contrasenya mestra. DAVID Malan: Sí. Així que estàs tipus de canvi de l'escenari d'amenaça. Si algú endevina o figures o es llegeix a la nota de post-it en el seu magatzem d'arxius segura, la contrasenya mestra que té, ara tot es veu compromesa mitjançant el qual prèviament es va ser potser només un compte. Què més? 

AUDIÈNCIA: Si voleu utilitzar qualsevol dels seus comptes en un altre dispositiu i vostè no té LastPass [inaudible]. 

DAVID Malan: Sí, això és una espècie de captura, també. Amb aquestes eines, també, si vostè no té l'equip i que es trobi, de la mateixa manera que, algun cafè o ets a casa d'un amic o d'un laboratori de computació o on sigui i vol per iniciar sessió a Facebook, que ni tan sols sap el que la contrasenya de Facebook és. Ara, de vegades, pot mitigar això per tenir una solució que parlarem en un moment anomenat autenticació de dos factors pel qual Facebook va a text vostè o enviarà un missatge xifrat especial al seu telèfon o algun altre dispositiu que vostè porta al voltant en el seu clauer amb que pot identificar-se. Però això és, potser, molest si estàs al soterrani del centre de la ciència o en un altre lloc aquí al campus de New Haven. Potser no teniu senyal. I així, això no és necessàriament la solució. Així que el que realment és un trade-off. Però el que jo li animem a fer-- si vas a la pàgina web de l'CS50, en realitat ens organitzem per al primer de aquestes empreses per a una llicència de lloc, per així dir-ho, per a tots els estudiants CS50 per la qual cosa no ha de pagar els 30 $ o pel que normalment costa. Per Macs i Windows, pots fer una ullada 1Password de forma gratuïta en el lloc web de l'CS50, i anem a embolicar-te amb això. 

Donar-se compte, també, que alguns aquests tools-- incloent LastPass en una de les forms-- és basat en el núvol, com Colbert diu, el que significa que els seus contrasenyes s'emmagatzemen encryptedly en el núvol. La idea no és que es pot anar a una persona a l'atzar o l'ordinador d'un amic i iniciar sessió al seu compte de Facebook compte o similar ja que primer vagi a lastpass.com, accedir a la contrasenya, a continuació, escrigui en. Però quin és l'escenari d'amenaça allà? Si vostè està emmagatzemant coses en el núvol, i ja està l'accés a aquest lloc web en algun equip desconegut, el que podria estar fent teu amic a vostè o als seus cops de teclat? D'ACORD. Estaré avançar manualment llisca a partir d'ara. 

Keylogger, oi? Un altre tipus de malware és un keylogger, que és simplement un programa que en realitat registra tot el que escriu. Així que, també, és probablement millor tenir algun dispositiu secundari com aquest. 

Llavors, què és autenticació de dos factors? Com el seu nom indica, és que tens no un, sinó dos factors amb els quals per autenticar a un lloc web. Així que en lloc d'utilitzar només una contrasenya, vostè té algun un altre segon factor. Ara, que és generalment, un, factor és una cosa que vostè sap. Així que alguna cosa una mica en l'ull de la seva ment, que és contrasenya que ha memoritzat. Però dos, no una altra cosa que vostè sap o ha memoritzat però una cosa que has físicament. La idea és seva amenaça ja no podria ser una persona a l'atzar a l'Internet que pot simplement endevinar o esbrinar la contrasenya. Ell o ella ha de tenir física accés a alguna cosa que vostè té, que encara és possible i tot i així, potser, tant més físicament amenaçant. Però és almenys un diferents tipus d'amenaça. No és un milió de persones sense nom per aquí tractant d'arribar a les seves dades. Ara és un molt específic persona, potser, que si això és un problema, això és un altre problema del tot, també. 

Així que en general existeix per als telèfons o altres dispositius. I, de fet, Yale acaba de rodar això a mitjans de semestre tals que això no afecta la gent en aquesta sala. Però aquells de vostès següent juntament a New Haven saber que si vols iniciar sessió en el seu ID de yale.net, a més d'escriure la seva nom d'usuari i la contrasenya, a continuació, li sol·licita amb això. I, per exemple, aquesta és una la captura de pantalla que vaig prendre aquest matí quan em vaig registrar al meu compte de Yale. I m'envia l'equivalent d'un missatge de text al meu telèfon. Però, en realitat, he descarregat una aplicació per endavant que Yale ara distribueix, i he de ara només has d'escriure en el codi que manen al meu telèfon. 

Però per ser clars, el avantatge d'això és que ara, fins i tot si algú s'adona la contrasenya Yale, estic segur. Això no és suficient. Això és només una clau, però jo necessiten dos per desbloquejar el meu compte. Però quin és el costat negatiu, potser, del sistema de Yale? I deixarem Yale sap. Quina és la desavantatge? Què és això? Si no té el servei de mòbil o si no tenen Wi-Fi perquè ets acaba en un soterrani o alguna cosa, podria no ser capaç d'arribar el missatge. Afortunadament, en aquest cas particular, això va a utilitzar Wi-Fi o alguna altra cosa, que treballa al seu voltant. No obstant això, un possible escenari. Què més? Vostè podria perdre el seu telèfon. Només que no el té. La bateria s'esgota. Vull dir, no hi ha un nombre escenaris de molestos però possibles escenaris que podrien ocórrer que fan que et penedeixes d'aquesta decisió. I el pitjor possible resultat, francament, a continuació, seria perquè els usuaris desactivar aquesta complet. Així que no sempre va sent aquesta tensió. I vostè ha de trobar per tu mateix com a usuari mena de punt dolç. I per fer això, prendre un parell suggeriments concrets. Si utilitzeu Google Gmail o Google Apps, saber que si vas a aquest URL aquí, pot activar de dos factors autenticació. Google diu la verificació en 2 passos. I fa clic a Configuració i, a continuació, a fer exactament això. Això és una bona cosa que fer, sobretot en aquests dies, ja que, gràcies a les cookies, està connectat gairebé tot el dia. Així que tens rarament escrigui la contrasenya de totes maneres. Així que vostè podria fer-ho un cop al setmana, un cop al mes, un cop al dia, i és menys d'un gran tractar que en el passat. 

Facebook també té aquesta. Si vostè és una mica massa fluix amb escriure la contrasenya de Facebook a amics ' ordinadors, almenys permetrà de dos factors autenticació de manera que aquest amic, fins i tot si ell o ella té un registrador de pulsacions de tecles, que no poden entrar al seu compte. Bé, per què és això? No podien simplement ingressi el codi que he escrit en el meu telèfon que Facebook ha enviat a mi? AUDIÈNCIA: [inaudible]. DAVID Malan: Sí. El programari ben dissenyat canviarà aquests codis que són enviats al seu telèfon cada pocs segons o cada vegada que i perquè, sí, fins i tot si ell o ella s'adona el que el seu codi és, segueixes sent segur perquè hi haurà expirat. I això és el que sembla Igual que a la pàgina web de Facebook. 

Però hi ha un altre enfocament complet. Així que si aquest tipus de compensacions no són particularment atractiu, un principi general en matèria de seguretat ho faria ser, bé, només almenys les coses d'auditoria. No espècie de posar el seu cap en la sorra i mai se sap si o quan que ha estat compromesa o atacat. Almenys establir algun mecanisme que l'informa l'instant si alguna cosa anòmal ha passat perquè almenys estreta la finestra de temps durant el que algú pot fer mal. 

I en això, em refereixo a la following-- a Facebook, per exemple, vostè pot convertir en el que que ells anomenen alerta d'inici de sessió. I ara mateix, m'he permès email connexió alertes però no notificacions. I el que això significa és que si les notificacions de Facebook He inscrit en un nou computer-- com si jo no tinc una galeta, És una adreça IP diferent, és un tipus diferent de computer-- ells, en aquest escenari, enviar em un correu electrònic dient, hey, David. Sembla que ha entrat en el d'un equip desconegut, ho dic. 

I ara el meu compte podria ser compromesa, o el meu amic molest podria haver estat ingressant a el meu compte ara publicar coses en el meu feed de notícies o similars. Però almenys la quantitat de temps amb el que estic ignorant que és súper, súper estret. I jo espero que puc respondre. Així que els tres d'aquests, ho faria per exemple, són molt bones coses a fer. Quines són algunes de les amenaces que són una mica més difícil per a nosaltres vam acabar els usuaris per protegir contra? Algú sap què segrest de sessió és? És una amenaça més tècnic, però molt familiar ara que hem fet PSET 06:07 i ara 8. Així que recorda que quan s'envia el trànsit a internet, algunes coses succeeixen. Déjame anar endavant i iniciar sessió en c9 o CS50.io. Dóna'm només un moment a iniciar sessió en el meu compte jHarvard. 

AUDIÈNCIA: Quina és la seva contrasenya. 

DAVID Malan: 12.345. Tot bé. I aquí, sé que si em vaig endavant i sol·licitar un web page-- i mentrestant, deixa fer això. Permetin-me obro Inspector de Chrome pestanya i el meu tràfic de xarxa. I me n'aniré a http://facebook.com i clar això. En realitat, saps què? Anem a anar a una més familiar un-- https://finance.cs50.net i feu clic a Enter sessió el tràfic de xarxa aquí. 

Així que notar aquí, si miro en el meu tràfic de xarxa, resposta headers-- anirem aquí. Resposta headers-- aquí. Així que la primera sol·licitud que enviat, que va ser per a la pàgina per defecte, que va respondre amb aquestes capçaleres de resposta. I hem parlat coses com la ubicació. Igual, vol dir ubicació redirigir a login.php. Però una cosa que no parlava una enorme quantitat sobre era línies com aquesta. Així que aquest és l'interior del envoltant virtual que és enviat des CS50 Finance-- la versió que vostès va escriure, també- a l'ordinador portàtil d'un usuari o ordinador d'escriptori. I això està establint una galeta. Però, ¿què és una galeta? Penseu de nou a la nostra discussió de PHP. Sí? Sí, és una manera de dir la lloc web que vostè encara està connectat. Però, com funciona això? Bé, en visitar finance.cs50.net, sembla que aquest servidor que hem implementat és l'establiment d'una galeta. I aquesta galeta és convencionalment cridar PHPSESSID ID de sessió. I vostè pot pensar en ell com un handstamp virtual en un club o, com, un parc de diversions, un trosset de tinta vermella que va de la mà de manera que la propera vegada que visiti el porta, només ha de mostrar el seu costat, i el guàrdia de seguretat a la porta li permetrà aprovar o no sobre la base d'aquest segell. 

Així la subsegüent peticions que el meu navegador sends-- si vaig a la següent petició i ens fixem en les capçaleres de petició, t'adonaràs més coses. Però el més important és això porció ressaltada aquí-- No estableixi la galeta però galeta. I si li dono la volta a través de cadascuna d'aquestes peticions HTTP subsegüents, cada vegada que anava a veure una mà sent ampliat amb la mateixa exacta PHPSESSID, és a dir, això és els mechanism-- aquesta gran pseudoaleatorio number-- que un servidor utilitza per mantenir la il·lusió de $ _SESSION objecte de PHP, en el qual pot emmagatzemar coses com ID de l'usuari o el que està a la cistella de la compra o qualsevol nombre d'altres peces de dades. 

Quina és la implicació? Bé, i si aquest dades no està xifrada? I, de fet, a la millor pràctica xifrar o menys cadascun dels llocs web de CS50 aquests dies. Però és molt comú en aquests dia per als llocs web encara no tenir HTTPS en l'inici de la URL. Són només HTTP, dos punts, slash slash. Quina és la implicació allà? Això simplement vol dir que totes aquestes capçaleres es troben dins d'aquest sobre virtual. I qualsevol que ensuma l'aire o físicament intercepta aquest paquet físicament pot mirar dins i veure el que galeta és. 

I així el segrest de sessió és simplement una tècnica que un adversari utilitza per a rastrejar les dades en l'aire o en alguna xarxa per cable, mirar dins d'aquest sobre i veure, oh. Veig que la seva galeta és 2kleu el que sigui. Deixin-me seguir endavant i fer una còpia del seu segell a la mà i ara començar a visitar Facebook o Gmail o el que sigui a mi mateix i acaba de presentar el exactament el mateix handstamp. I la realitat és, exploradors, així com servidors són realment tan ingenu. Si el servidor veu aquest mateix galeta, el seu propòsit en la vida hauria de ser dir, oh, que ha de ser David, qui acaba de connectar fa una mica. Déjame mostrar aquest mateix usuari, presumiblement, la safata d'entrada de David o Facebook missatges, o qualsevol altra cosa en la qual el connectat. 

I l'única defensa contra és simplement xifrar tot dins del sobre. I per sort, una gran quantitat de llocs com Facebook i Google i similars estan fent que avui dia. Però les que no et vas perfectament, perfectament vulnerable. I una de les coses que vostè pot fer-- i una de les característiques agradables, francament, de 1Password, el programari He esmentat abans, és si ho instal en el seu Mac o PC, el programari, a més d'emmagatzemar la seva contrasenyes, ho farà també advertir si alguna vegada intentes ingressant a un lloc web que és va enviar el seu nom d'usuari i la contrasenya sense xifrar i en el clar, per així dir-ho. Tot bé. Així segrest de sessió es redueix a això. Però hi ha aquesta altra de manera que les capçaleres HTTP pot utilitzar-se per aprofitar-se de nosaltres. I això segueix sent una mena de tema. Això és realment només un adorable excusar d'aguantar Cookie Monster aquí. Però Verizon i AT & T i altres van prendre moltes crítiques fa uns mesos per a la injecció, sense el coneixement dels usuaris inicialment, una capçalera HTTP addicional. 

Així que aquells de vostès que han tingut Verizon Wireless o cel·lular d'AT & T mòbils, i que ha estat visitant llocs web a través del seu telèfon, sense el coneixement que, després de la seva HTTP peticions deixen Chrome o Safari o el que sigui en el seu telèfon, aneu a Verizon o router de AT & T, que presumptuosament des de fa algun temps han estat la injecció d'una capçalera que es veu així- un parell clau-valor, on la clau és simplement X-UIDH per identificador únic capçalera i una mica més gran valor aleatori. I ho fan de manera que puguin única identificar la totalitat del seu trànsit web a persones que reben la seva sol·licitud HTTP. 

Ara, per què Verizon i AT & T i similars volen que identificar de manera exclusiva a tots els llocs web que estan visitant? 

AUDIÈNCIA: Millor servei al client. 

DAVID Malan: millor-- no. És una bona idea, però és no per a un millor servei al client. Què més? Publicitat, oi? Perquè puguin construir una xarxa de publicitat, presumiblement, pel que encara que han desactivat les galetes, fins i tot si vostè té especial programari en el seu telèfon que té en incògnit mode-- ha. No hi ha manera d'incògnit quan el home en el middle-- literalment, Verizon o AT & T està injectant dades addicionals sobre la qual vostè no té control, revelant així qui ets perquè el lloc web que resulta una vegada i una altra. 

Així que hi ha maneres d'optar fora d'això. Però aquí, també, és una cosa que, francament, l'única manera per fer retrocedir en això és deixar el transportista per complet, deshabilitar si és que li permeten, o, com va passar en aquest cas, fer una mica de enrenou en línia, que les empreses realment responen. Això, també, és només un altre adorable oportunitat per mostrar això. 

I anem a fer una ullada a, anem a dir, una o dues amenaces finals. Així que parlem de CS50 Finances aquí. Així t'adonaràs que tenim aquesta bonica petita icona al botó d'inici de sessió aquí. Què vol dir si em en lloc d'utilitzar aquesta icona? Així que abans, després. Abans després. El que després de dir? És segur. Això és el que m'agradaria que vostè pensi. Però, irònicament, és segur perquè tenim HTTPS. 

Però això és el fàcil que és canviar alguna cosa en un lloc web, no? Tots vostès saben una mica d'HTML i CSS ara. I de fet, és bastant fàcil A-- i si no va fer it-- per canviar la icona. Però això també és el que empreses ens han ensenyat a fer. Així que aquí hi ha una captura de pantalla del Banc del lloc web dels Estats Units aquest matí. I noti, un, que són em tranquil·litza és que és un signe segur en la part superior esquerra. I també tenen una icona de cadenat al botó, el que significa el que per a mi, l'usuari final? 

En veritat res, oi? El que importa és el fet que no és la gran verda URL sobre de la tapa amb HTTPS. Però si ens acostem a això, és just com jo, coneixent una mica d'HTML i una mica de CSS, i dient: bo, el meu lloc web és segur. Igual, qualsevol pot posar un cadenat i la paraula segura de sessió a la seva pàgina web. I realment no vol dir res. Què significa alguna cosa és una cosa com això, on vostè veu https: // el fet que Bank of America Corporation té aquesta gran barra verda, mentre que CS50 no ho fa, només significa que van pagar diversos centenars dòlars més per tenir addicional la verificació feta del seu domini als EUA perquè els navegadors que s'adhereixen a aquesta norma serà també mostrar- una mica més que això. 

Així que anem a deixar les coses en aquell, espantar una mica més en poc temps. Però dimecres, estarem units per Scaz de Yale per a un cop d'ull a inteligencia artificial i el que podem fer amb aquestes màquines. Ens veiem la propera vegada.