[Musik spiller] DAVID MALAN: Dette er CS50, og dette er starten på uge 10. Og du måske huske dette billede fra et par uger tilbage når vi talte om internettet og hvordan Det er faktisk implementeres fysisk. Og du måske huske, at der er faktisk en hel masse kabler samt trådløs Teknologier, der interconnect alle knudepunkterne eller routere og andre disse teknologier på internettet. Og en masse, der er underseas. Tja, det viser sig, at de, underseas kabler er lidt af et mål. Og dagens forelæsning er helt om sikkerhed, ikke blot de trusler, vi alle står fysisk, men også stort set, og også mod bagenden i dag, nogle af forsvarsværker at vi som brugere kan faktisk sat på plads. Men først, en af ​​de første og måske mest fysisk threat-- [VIDEO PLAYBACK] -Kan Rusland være planlægning et angreb på undersøiske kabler at forbinde den globale internet? -Russian Skibe og ubåde lurer i nærheden af ​​undersøiske kabler som bærer næsten alle af verdens internettet. -Den Hele internet er føres langs disse kabler. -Først Og fremmest, hvad er det internet laver undersøiske? Sidste gang jeg tjekkede, jeg er ikke formodes for at få min computer våd. For det andet, hvis du spørger mig, hvordan internettet rejser fra kontinent til kontinent, Jeg ville have sagt satellitterne eller lasere, eller ærligt, Jeg ville sandsynligvis have lige sagde internettet. Og hvad skete der med skyen? Jeg fik at vide der var en sky. Huske? Hey, lad os sætte det i skyen. Det var ligesom internettet var en damp af oplysninger, der cirkler om Jorden, og din computer var som en slev der skovlede ud, hvad du havde brug for. Men det viser sig internettet er faktisk undersøiske fordi disse kabler bære mere end 95% af den daglige internet kommunikation. Og efterretningstjenester bekymrer os, at i tider med spændinger eller konflikter, Rusland kan ty til overskæring dem. Det ville være den største forstyrrelse til din internetudbyder da din overbo sætte en adgangskode på hans Wi-Fi. OK? Prøv hans hunds navn. [END AFSPIL] DAVID MALAN: Før vi går nu over til nogle af de mere virtuelle trusler, et par meddelelser. Så vores venner en CrimsonEMS er i øjeblikket rekruttere nye ambulancereddere, Emergency Medical teknikere. Og det er faktisk noget særlig tæt på mit hjerte. En lang tid siden, jeg Husk at være i en Ikea kort efter endt uddannelse, faktisk. Og da jeg var forlader butikken, dette lille dreng, der var i en klapvogn begyndte at dreje bogstaveligt blå. Og han blev kvalt i nogle stykke af fødevarer, der havde formentlig fået fast i hans hals. Og hans mor var panik. Forældrene omkring dem var panik. Og selv jeg, som havde lidt af fortrolighed med EMS blot ved hjælp af venner, helt frøs. Og det var kun takket være noget ligesom en 15-årig livredder, der løb over og faktisk vidste hvad gør instinktivt og opfordrede til hjælp og faktisk trak dreng ud af sin klapvogn og faktisk rettet situationen. Og for mig, der var et vendepunkt. Og det var det øjeblik i tid, hvor jeg besluttede, for fanden, Jeg har brug for at have min handling sammen og faktisk kender hvordan man reagerer på disse slags situationer. Og så jeg selv fik licens år siden som en EMT. Og gennem graduate skole jeg ride på MIT ambulance i nogen tid så godt som har holdt min licens siden. Og faktisk, den dag i dag, alle af CS50 ansatte her i Cambridge faktisk certificeret i CPR, så godt, af samme årsager. Så hvis du er på alle interesseret i dette, er der aldrig vil være tid nok i dagen til at tage på noget nyt. Men hvis du ønsker en nytår opløsning, skal du slutte disse fyre her eller overveje at nå ud til den Røde Kors til certificering, enten her eller i New Haven, så godt. Så CS50 sidste frokost er denne fredag. Så hvis du endnu ikke har tilmeldt os, eller hvis du har, og du vil have en gang mere, går på CS50 hjemmeside for at udfylde formularen der. Ved også, at vores venner i Yale, professor Scassellati, har produceret en AI, kunstig intelligens, serie for os der vil begynde til debut i denne uge på video. Så især hvis du er interesseret i at forfølge en afsluttende projekt eller anden måde relateret til kunstig intelligens, behandling af naturligt sprog, endda robotteknologi, indse, at disse vil være en vidunderlig inspiration til det. Og bare for at give dig en teaser af denne, her er SCAZ selv. [VIDEO PLAYBACK] -En Af de virkelig store ting om datalogi er, at selv kun et par uger af studiet, du vil være i stand til at forstå mange af de intelligente artefakter og enheder, der befolker vores moderne verden. I denne korte video serie, vi kommer til at se på ting som, hvordan Netflix er i stand til at foreslå og anbefale film at jeg måske gerne, hvordan det er, at Siri kan besvare spørgsmål, som jeg har, hvordan det er, at Facebook kan genkende mit ansigt og automatisk tagge mig i et fotografi, eller hvordan Google er i stand til at bygge en bil, der kører på egen hånd. Så jeg håber du vil slutte sig til mig for denne korte serie af videoer, det CS50 AI-serien. Jeg tror, ​​du vil opdage, at du kender meget mere, end du troede, du gjorde. [END AFSPIL] DAVID MALAN: Så dem vil blive vist på kursets hjemmeside senere i denne uge. Bliv hængende. Og i mellemtiden, et par meddelelser om, hvad der ligger forude. Så vi er her. Dette er i vores foredrag om sikkerhed. Denne kommende onsdag SCAZ og Andy, vores hoved undervisning fyr i New Haven, vil være her at se på kunstig intelligens selv for et kig på beregning for communication-- hvordan man opbygger systemer, der bruger sprog til at kommunikere fra Eliza, hvis du er bekendt med denne software fra gårsdagens, til Siri mere nylig og til Watson, som du måske kender fra Jeopardy eller lignende. Så næste mandag, er vi ikke her i Cambridge. Vi er i New Haven for en anden se på kunstig intelligens med SCAZ og company-- AI modstandere i spil. Så hvis du nogensinde har spillet mod computeren i nogle video spil eller mobil spil eller lignende, vi får taler om præcis at-- hvordan at bygge modstanderne til spil, Hvordan til at repræsentere ting nedenunder hood hjælp træer fra spil som Kryds og bolle til skak til egentlige moderne videospil, så godt. Desværre, quiz man er kort tid derefter. Flere detaljer om det på CS50 s hjemmeside senere i denne uge. Og vores endelige forelæsning på Yale vil være, at fredag ​​efter quizzen. Og vores endelige forelæsning på Harvard vil være mandag Derefter i kraft af planlægning. Og så i form af milepæle, udover pset otte ud i denne uge; statusrapport, som vil være en hurtig tilregnelighed kontrol mellem dig og din undervisning kollega; den hackathon, som vil være her i Cambridge for studerende fra New Haven og Cambridge ens. Vi vil tage sig af alle transport fra New Haven. Gennemførelsen af endelige projekt vil være på grund. Og så for begge campusser vil der være en rimelig CS50 der giver os mulighed for at tage et kig på og glæde i, hvad alle har udrettet. Faktisk troede jeg, det ville være en god øjeblik at gøre opmærksom på denne enhed her, som vi har brugt til en vis mængde tid her, som er en nice touch skærm. Og faktisk, sidste år havde vi en $ 0,99 app at vi har hentet fra Windows-app lagre for at tegne på skærmen. Men helt ærligt, det var meget rodet. Det tilladt os at trække på skærmen, men der var, som, en masse ikoner op her. Brugergrænsefladen var temmelig dårlig. Hvis du ønskede at ændre visse indstillinger, der var bare så mange forbandede klik. Og brugeren interface-- eller mere korrekt, brugeren experience-- var temmelig suboptimal, især bruger det i et foredrag miljø. Og så vi nåede ud til en ven af ​​vores hos Microsoft, Bjørn, der er faktisk fulgt sammen med CS50 online. Og som hans sidste projekt, væsentlige, gjorde han meget elskværdig tage nogle input fra os som til præcis den funktioner og brugeroplevelse vi vil have. Og han gik derefter om at bygge til Windows denne applikation her der giver os mulighed for at draw-- oops-- og stave på til-- wow. Tak. At tegne og stave på denne skærm her med meget minimal brugergrænseflade. Så du har set mig, måske, skal du trykke op her nogensinde så lidt, hvor vi nu kan understrege tingene i rødt. Vi kan skifte, og nu gå til hvid tekst her. Hvis vi ønsker at faktisk slette skærmen, kan vi gøre dette. Og hvis vi faktisk foretrækker en hvide lærred, kan vi gøre det. Så det gør så forfærdeligt lidt ved design og gør det godt. Så jeg futz, forhåbentlig, langt mindre i år i klassen. Og tak, også til en protege af hans jeg iført i dag en lille ring. Dette er Benjamin, som var interneringen med Bjørn denne sommer. Så det er en lille ring. Det er lidt større end min sædvanlige ring. Men via en lille kaldes op på siden her kan jeg faktisk flytte dias til venstre og højre, frem og tilbage, og faktisk rykke tingene trådløst så, en, jeg har ikke at holde gå tilbage over til mellemrumstasten her. Og to, behøver jeg ikke at have en af ​​disse dumme klikkere og fokuserer de min hånd ved at holde den skide ting hele tiden for simpelthen at klikke. Og sikkert med tiden vil den hardware som dette få super, super mindre. Så helt sikkert, tøv ikke med at tænke ud af boksen og gøre ting og skabe ting, der ikke engang Der findes endnu for afsluttende projekter. Uden videre, et kig på, hvad der venter som du dykke ned i din endelige projekter på CS50 hackathon [VIDEO PLAYBACK] [Musik spiller] [Snorken] [END AFSPIL] DAVID MALAN: Okay. Så Stephen Colbert klip at jeg viste bare et øjeblik siden var faktisk på tv blot et par dage siden. Og i virkeligheden, et par af de andre klip vi vil vise i dag, er utroligt nylig. Og i virkeligheden, der taler til realitet, at så meget af teknologi og helt ærligt, en masse af de ideer vi har talt om i CS50 virkelig er allestedsnærværende. Og en af ​​målene for kurset er helt sikkert at udstyre dig med tekniske færdigheder, så at du rent faktisk kan løse problemer programmeringsmæssigt, men to, således at du kan faktisk gøre bedre beslutninger og træffe mere informerede beslutninger. Og faktisk tematisk hele tryk og online videoer og artikler disse dage er blot en skræmmende misforståelser eller mangel forståelse af, hvordan teknologi værker, især blandt politikere. Og så ja, i bare en smule vi får tage et kig på en af ​​de detaljer, samt. Men bogstaveligt talt bare vare nat sad jeg i Bertucci s, en lokal franchisen italiensk sted. Og jeg hoppede på deres Wi-Fi. Og jeg var meget beroliget at se, at det er sikkert. Og jeg vidste, at fordi den siger her "Secure Internet Portal" når skærmen kom op. Så det var den lille prompt der kommer op i Mac OS eller i Windows, når du opretter forbindelse til et Wi-Fi-netværk for første gang. Og jeg var nødt til at læse deres betingelser og vilkår og til sidst på OK. Og så fik jeg lov til at fortsætte. Så lad os begynde at genoverveje, hvad alle det betyder, og ikke længere tage for givet, hvad folk fortæller os, når vi støder det med forskellige teknologi. Så en, hvad betyder det, at dette er en sikker internetportal? Hvad kunne Bertucci s være berolige mig om? PUBLIKUM: De pakker, der sendes frem og tilbage er krypteret. DAVID MALAN: God. Pakkerne bliver sendt tilbage og tilbage er krypteret. Er det i virkeligheden er tilfældet? Hvis det var tilfældet, hvad ville jeg nødt til at gøre, eller hvad ville jeg nødt til at vide? Nå, ville du se en lille ikon hængelås i Mac OS eller i Windows siger, at der faktisk nogle kryptering eller scrambling foregår. Men før du kan bruge en krypteret portal eller Wi-Fi-forbindelse, hvad har du som regel skrive i? En adgangskode. Jeg kender ikke en sådan password, eller jeg skriver en sådan adgangskode. Jeg simpelthen klikkede OK. Så dette er fuldstændig meningsløst. Dette er ikke en sikker internetportal. Dette er en 100% usikker internetportal. Der er absolut ingen kryptering går på, og alt, hvad der gør det sikkert er, at tre-ord sætning på skærmen der. Så det betyder ikke noget, nødvendigvis, teknologisk. Og lidt mere bekymrende, hvis du rent faktisk læse de vilkår og betingelser, som er overraskende læsbare, var denne-- "du forstå, at vi forbeholder os retten til at logge eller overvåge trafikken til sikre disse vilkår følges. " Så det er lidt utryg, hvis Bertucci s er at se min internet trafik. Men de fleste helst aftale, du har blindt klikket gennem har sikkert sagt det før. Så hvad betyder det egentlig betyder teknologisk? Så hvis der er nogle uhyggelige fyr eller kvinde i ryggen der er ligesom, overvågning al internettrafik, hvordan han eller hun adgang at oplysninger præcist? Hvad er det teknologiske betyder via hvilke at person-- eller modstander, flere generally-- kan se på vores trafik? Tja, hvis der ikke er nogen kryptering, hvad slags ting kunne de sniffe, så at sige, en slags opdage i luften. Hvad ville du se på? Ja? PUBLIKUM: Pakkerne sendes fra din computer til routeren? DAVID MALAN: Ja. Pakkerne sendes fra computeren til din router. Så du måske husker, når vi var i New Haven, vi passerede disse kuverter, fysisk, hele publikum til at repræsentere data går gennem internettet. Og helt sikkert, hvis vi kaster dem gennem publikum trådløst at nå deres bestemmelsessted, nogen kan slags Grib det og lave en kopi af det og faktisk se, hvad der er indersiden af ​​kuverten. Og, selvfølgelig, hvad er indersiden af ​​disse kuverter er en række ting, herunder IP-adressen at du forsøger at adgang eller værtsnavnet, ligesom www.harvard.edu eller yale.edu at du prøver at få adgang til eller noget andet helt. Desuden stien, too-- du kender fra pset seks at indersiden af ​​HTTP-anmodninger er få skråstreg something.html. Så hvis du besøger en bestemt side, downloade et bestemt billede eller en video, alle af disse oplysninger er inde i denne pakke. Og så nogen der i Bertucci CAN være at se på, at meget samme data. Nå, hvad er nogle andre trusler langs disse linjer at være opmærksomme på, før du bare begynde at acceptere som faktisk hvad en som Bertucci er simpelthen fortæller dig? Nå, det var en article-- en række artikler der kom ud et par måneder tilbage. Alle de vrede i disse dage er disse nymodens smarte tv. Hvad er en smart tv, hvis du har hørt om dem eller har en derhjemme? PUBLIKUM: Internet-forbindelse? DAVID MALAN: Ja, internet-forbindelse. Så generelt en smart TV er en TV med internet-forbindelse og en virkelig crappy bruger grænseflade, der gør det sværere at rent faktisk at bruge internettet fordi du er nødt til at bruge, ligesom, op, ned, til venstre og til højre eller noget på fjernbetjeningen bare at få adgang til ting, der er så meget mere nemt gøres på en bærbar computer. Men mere bekymrende om en smart tv, og Samsung TV i dette særlige tilfælde, var, at Samsung-tv og andre disse dage kommer med visse hardware at skabe, hvad de hævder er en bedre brugergrænseflade til dig. Så en, kan du tale med nogle af dine tv i disse dage, ikke ulig Siri eller nogen af ​​de andre ækvivalenter på mobiltelefoner. Så du kan sige kommandoer, ligesom skift kanal, hæve volumen, slukke, eller lignende. Men hvad er konsekvenserne af denne logisk? Hvis du har fået TV i din dagligstue værelse eller TV ved foden af ​​din seng at falde i søvn til, hvad er konsekvenserne? Ja? PUBLIKUM: Der kan være noget går ind gennem den mekanisme til at registrere din tale. DAVID MALAN: Ja. PUBLIKUM: Det kunne sendes via internettet. Hvis det er ukrypteret, så er det sårbart. DAVID MALAN: Ja. Hvis du har en mikrofon indbygget ind i en TV og dets formål i livet er, ved design, til at lytte til dig og svare dig, Det er sikkert kommer til at være lytte til alt, hvad du siger og derefter oversætte det til nogle indlejrede instruktioner. Men fangsten er, at de fleste af disse TV er ikke perfekt intelligent selv. De er meget afhængig af at internetforbindelse. Så meget gerne Siri, når du taler i telefonen, hurtigt sender, at data på tværs internettet til Apple-servere, derefter får tilbage et svar, bogstavelig talt er Samsung TV og ækvivalenter bare sende alt, hvad du er siger i din stue eller soveværelse til deres servere for blot at opdage sagde han, tænde for tv'et eller slukke for fjernsynet? Og Gud ved, hvad ellers kan blive sagt. Nu er der nogle måder at afbøde dette, ikke? Ligesom hvad gør Siri og hvad gør Google og andre gør til mindst forsvare sig mod at risikoen for, at de er lytte til absolut alt? Det skal aktiveres ved at sige noget ligesom, hey, Siri, eller hi Google eller lignende eller OK, Google eller lignende. Men vi ved alle, at de, udtryk slags sutter, ikke? Ligesom jeg var bare sitting-- faktisk sidste gang Jeg var på kontortid på Yale, tror jeg, Jason eller et af TFS holdes råben, ligesom, hey, Siri, hey, Siri og var at gøre min telefon gøre ting, fordi han var for proksimalt for min faktiske telefon. Men det modsatte er tilfældet, også. Undertiden disse ting bare sparke på, fordi det er ufuldkommen. Og ja, naturlige sprog processing-- forstå et menneskes frasering og derefter gør noget baseret på det-- er bestemt ufuldkommen. Nu værre endnu, nogle af jer måske har set eller har et tv, hvor du kan gøre dumme eller new-age ting som dette at skifte kanaler til venstre eller dette for at skifte kanal til højre eller sænke lydstyrken eller hæve lydstyrken. Men hvad betyder det TV har? Et kamera pegede på dig på alle mulige tidspunkter. Og i virkeligheden, brouhaha omkring Samsung TV, som de tog nogle Flack er, at hvis du læser de vilkår og betingelser for TV-- ting du helt sikkert aldrig læst, når udpakning dit tv for første time-- indlejret i var der en lille ansvarsfraskrivelse siger hvad der svarer til, en, du måske ikke ønsker at have personlig samtaler foran dette TV. Og det er hvad det reducerer til. Men du bør ikke engang nødt til at vide, at. Du bør være i stand til udlede den virkelighed at mikrofon og kamera bogstaveligt peger på mig hele tiden måske er flere dårlige end gode. Og helt ærligt, jeg siger det noget hyklerisk. Jeg bogstaveligt talt har, udover de kameraer, Jeg har et lille bitte kamera her i min bærbare computer. Jeg har en anden herovre. Jeg har den i min Mobiltelefon på begge sider. Så at jeg sætter det ned den forkerte side, de kan stadig se mig og lyt til mig. Og alt dette kunne være sker hele tiden. Så hvad stopper min iPhone eller Android telefon fra at gøre det hele tiden? Hvordan kan vi vide, at Apple og nogle uhyggelige person på Google, ikke lytter i til denne meget samtale gennem telefon eller samtaler Jeg har hjemme eller på arbejde? PUBLIKUM: Fordi vores liv er ikke så interessant. DAVID MALAN: Fordi vores liv er ikke så interessant. Det faktisk er et gyldigt svar. Hvis vi ikke er bekymrede om en særlig trussel, der er en slags, der bekymrer aspekt til det. Lidt gamle mig, ikke vil til virkelig at være et mål. Men de helt sikkert kunne. Og så selvom du se nogle teatralsk ting på tv og film, lignende, åh, lad os slå gitteret og-- ligesom Batman gør dette en masse, faktisk, og faktisk kan se Gotham, hvad er foregår ved hjælp af folks mobiltelefoner eller lignende. Noget af det er lidt futuristisk, men vi er ret meget der i disse dage. Næsten alle af os er gå rundt med GPS transpondere, der er fortæller Apple og Google og alle andre, som ønsker at ved, hvor vi er i verden. Vi har en mikrofon. Vi har et kamera. Vi fortæller ting som snapchat og andre programmer alle vi kender, alle deres telefonnumre, alle deres e-mailadresser. Og så igen, en af ​​grillbarer dag forhåbentlig er mindst pause en lille smule før bare blindt at sige, OK når du ønsker det bekvemmelighed snapchat at vide, hvem alle dine venner er. Men omvendt, nu snapchat kender alle du kender og eventuelle lidt noter du måske har gjort i dine kontakter. Så det var en rettidig én, også. For et par måneder tilbage, snapchat selv blev ikke kompromitteres. Men der havde været nogle tredjepartsprogrammer der gjorde det lettere at spare snaps og fangsten var at der tredjeparts tjeneste blev selv kompromitteret, delvis fordi snapchat tjeneste støttede en funktion, som de sandsynligvis bør ikke have, som er tilladt for denne arkivering af en tredjepart. Og problemet var, at et arkiv af, ligesom, 90.000 snaps, tror jeg, blev til sidst bragt i fare. Og så du kan tage en vis trøst i ting som snapchat være flygtig, højre? Du har syv sekunder til at se på at upassende besked eller note, og så det forsvinder. Men en, de fleste af jer har sikkert regnet ud hvordan man kan tage screenshots ved nu, hvilket er den mest nem måde at omgå denne. Men to, er der intet at stoppe selskab eller den person, der er på internettet fra opsnappe at data, potentielt, samt. Så det var bogstaveligt talt blot en dag eller to siden. Dette var en dejlig artikel overskrift på en website online. "Epic Fail-- Power Worm Ransomware Tilfældigvis Ødelægger Ofrets data under Encryption. " Så en anden rippet fra overskrifter slags ting her. Så du har måske hørt om malware, som er ondsindet software-- så dårlige software at folk med for meget fritid skrive. Og nogle gange, det bare gør dumme ting som slette filer eller sende spam eller lignende. Men nogle gange, og i stigende grad, det er mere sofistikerede, ikke? De ved alle, hvordan man fuske i kryptering. Og Cæsar og Vigenere er ikke super sikker, men der er andre dem, i hvert fald, som er mere sofistikeret. Og så hvad denne modstander gjorde blev skrevet et stykke malware at en eller anden måde inficeret en bundt af folks computere. Men han var form for en idiot og skrev en fejlbehæftet version af denne malware sådan at når han eller hun implementeret code-- Åh, vi er at få en masse of-- ked af det. Vi får en masse hits på mikrofonen. OK. Så hvad problemet var, at han eller hun skrev nogle dårlige kode. Og så de genererede pseudo en krypteringsnøgle med hvilken han skal kryptere nogens data ondskabsfuldt, også og derefter ved et uheld smed væk krypteringsnøglen. Så effekten af ​​denne malware var ikke efter hensigten, som gidsel nogens data efter kryptere hans eller hendes harddisk og derefter forventer $ 800 US gengæld for krypteringsnøglen på hvilket tidspunkt offeret kunne dekryptere hans eller hendes data. Snarere, den dårlige fyr simpelthen krypterede alle de data på deres harddisk, ved et uheld slettet krypteringsnøglen, og fik ingen penge ud af det. Men det betyder også, at offeret er virkelig et offer, fordi nu er han eller hun kan ikke gendanne nogen af ​​de data, medmindre de faktisk har nogle old-school backup af det. Så også her er en slags en realitet at du vil læse om i disse dage. Og hvordan kan du forsvare sig mod dette? Nå, det er en hel dåse af orme, ingen ordspil bestemt, om virus og orme og lignende. Og der er helt sikkert software med som du kan forsvare dig selv. Men bedre end det er bare for at være smart om det. Faktisk har jeg haven't-- dette er en af disse gør som jeg siger, ikke som jeg gør tingene, perhaps-- jeg har ikke rigtig brugt antivirussoftware i år fordi hvis du generelt, hvad de skal kigge efter, kan du forsvare sig mod de fleste alt på din egen. Og faktisk, rettidig her på Harvard-- der var en fejl eller et problem sidste uge, hvor Harvard er klart, lignende, overvågning masser af netværkstrafik. Og alle jer selv besøger CS50 hjemmeside måske har fået en advarsel ordsprog at du ikke kan besøge denne hjemmeside. Det er ikke sikkert. Men hvis du forsøgte at besøge Google eller andre websteder, Også dem, også, var usikker. Det er fordi Harvard, også har en slags filtreringssystem der holder øje ud på potentielt ondsindede websteder at hjælpe med at beskytte os mod os. Men selv disse ting er klart ufuldkommen, hvis ikke buggy, selv. Så her-- hvis du er nysgerrig, jeg vil forlade disse slides op online-- er de faktiske oplysninger at modstanderen gav. Og han eller hun var beder om i bitcoin-- som er et virtuelt currency-- $ 800 USA til rent faktisk at dekryptere dine data. Desværre er dette blev fuldstændig afværget. Så nu vil vi se på noget mere politisk. Og igen, målet her er at begynde at tænke over, hvordan du kan træffe mere kvalificerede beslutninger. Og det er noget sker i øjeblikket i Storbritannien. Og dette var en vidunderlig tagline fra en artikel om dette. Den britiske introducerer, som vil du se en ny overvågning regningen hvorved Storbritannien er foreslår at overvåge alt briterne gør for en periode på et år. Og så dataene smidt ud. Citat, citat slut, "Det ville tjene et tyranni godt. " Så lad os tage et kig med en ven af ​​Mr. Colbert s. [VIDEO PLAYBACK] -Velkommen, Velkommen, velkommen til "Sidste uge Tonight". Tak så meget for slutter sig til os. Jeg er John Oliver. Bare tid til en hurtig resumé af ugen. Og vi begynder med UK, Jordens mindste magiske rige. I denne uge, debat har raset i løbet der over en kontroversiel ny lov. -Den Britiske regering er afsløringen nye love overvågning der væsentligt udvide sin magt at overvåge folks aktiviteter online. -Theresa May der kalder det en licens til at drive. Andre har kaldt det en Snoopers charter, har de ikke? Tja, holde på because-- Snoopers charter er ikke den rigtige sætning. Det lyder som den aftale en otte-årig er tvunget til at underskrive lovende at banke før han kommer ind sine forældres soveværelse. Dexter, underskrive denne Snoopers charter eller Vi kan ikke holdes ansvarlig for hvad du kan se. Dette lovforslag kan potentielt skrive i loven en enorm krænkelse af privatlivets fred. -under Planerne, en liste over websteder besøgt af hver person i UK vil blive optaget i et år og kunne stilles til rådighed for politi og sikkerhed tjenesteydelser. -Det Kommunikation data ville ikke afsløre den nøjagtige webside, du kiggede på, men det ville vise stedet det var på. -OK. Så det ville ikke opbevares eksakt side, bare hjemmesiden. Men det er stadig en masse information. For eksempel, hvis en person besøgte orbitz.com, ville du vide, at de var tænker på at tage en tur. Hvis de besøgte yahoo.com, ville du ved, at de bare haft et slagtilfælde og glemte ordet "google". Og hvis de besøgte vigvoovs.com, ville du ved, de er liderlige og deres B-tasten virker ikke. Og alligevel for alle de fejende beføjelser regningen indeholder, Britiske indenrigsminister Theresa May insisterer på, at kritikerne har blæst det ud af proportioner. -En Internetforbindelse rekord er en oversigt over meddelelsen tjeneste at en person har brugt, ikke en rekord af hver webside, de har adgang til. Det er simpelthen den moderne ækvivalent af en specificeret telefonregning. -Ja, Men det er ikke helt så beroligende, da hun mener, det er. Og jeg vil fortælle dig hvorfor. Først ønsker jeg ikke regeringen kigge på min telefon opkald enten. Og for det andet, en internet browserhistorik er lidt forskellig fra en specificeret telefonregning. Ingen febrilsk sletter deres telefon regningen, hver gang de er færdig med et opkald. [END AFSPIL] DAVID MALAN: Et mønster spirende om, hvordan jeg forberede klassen. Det er bare at se TV i en uge og se, hvad der kommer ud, tydeligt. Så det var også bare fra sidste nat på "Sidste uge Tonight". Så lad os begynde at tale nu om nogle af de forsvarsværker. Ja, for noget som denne, hvor briterne foreslår at holde en log over den slags af data, hvor kan det komme fra? Tja, husker fra pset seks, pset syv, og pset otte nu at indersiden af ​​de virtuelle envelopes-- mindste for HTTP-- er meddelelser, der ser sådan ud. Og så dette budskab, er naturligvis ikke kun rettet til en bestemt IP-adresse, som regeringen her eller der kunne sikkert logge. Men selv inde i denne kuvert er en udtrykkelig omtale af domænenavnet der bliver besøgt. Og hvis det ikke bare slash, det kan faktisk være en specifik filnavn eller et bestemt billede eller en film eller, igen, noget af interesse for dig kunne være sikkert opfanget, hvis alle netværkstrafikken er en eller anden måde bliver proxy gennem statslige servere, som det allerede sker i nogle lande, eller hvis der er slags ukendt eller skjulte aftaler, som det er sket allerede i denne land mellem visse store players-- Internetudbydere og teleselskaber, og den like-- og regeringen. Så sjovt story-- sidste gang jeg valgte badplace.com fra toppen af ​​mit hoved som et eksempel på en overfladisk hjemmeside, gjorde jeg faktisk ikke dyrlæge på forhånd uanset om faktisk førte til en badplace.com. Heldigvis, dette domæne Navnet er bare parkeret, og det gør faktisk ikke føre til en badplace.com. Så vi vil fortsætte med at bruge den til nu. Men jeg har fået fortalt, at kunne have bagslag meget dårligt den pågældende dag. Så lad os begynde at nu snakke om visse forsvar og hvilke huller der måske endda være i de. Så passwords er lidt af go-at besvare for en masse forsvarsmekanismer, ikke? Bare password beskytte det, så der vil holde modstandere ud. Men hvad betyder det egentlig? Så husker fra hacker to, tilbage, hvis du tackles at-- når du var nødt til at knække passwords i en file-- eller endda i problemer sæt syv, når vi giver dig en prøve SQL fil af nogle brugernavne og passwords. Det var de brugernavne, du så, og disse var de hashes at vi udbytte for hacker udgave af problemet sæt to. Og hvis du har undret alt dette tid, hvad de faktiske passwords var, det er det i virkeligheden, de dekryptere til, hvor du kunne have krakket i pset to eller du kunne have legende regnede dem i problemet sæt syv. Alle af dem har nogle forhåbentlig nuttet mening her eller i New Haven. Men takeaway er, at dem alle, i det mindste her, er temmelig korte, temmelig guessable. Jeg mener, baseret på listen her, som er måske den nemmeste at knække, at finde ud af ved at skrive software, der bare gætter og kontrol, ville du sige? PUBLIKUM: Kodeord. DAVID MALAN: Kodeord s temmelig godt, ikke? Og det er bare-- én, er det en meget almindelig adgangskode. Faktisk hvert år er der en liste over de mest almindelige passwords i verden. Og tilbud, citat slut "password" er generelt oven denne liste. To, det er i en ordbog. Og du kender fra problemet sæt fem, at det ikke at hard-- kunne være en lidt tid consuming-- men det er ikke så svært at indlæse en stor ordbog i hukommelsen og derefter bruge det til slags gæt og kontrol alle mulige ord i en ordbog. Hvad andet kunne være temmelig let at gætte og tjek? Ja? PUBLIKUM: Gentagelsen af ​​breve. DAVID MALAN: Gentagelsen af symboler og bogstaver. Så slags slags. Så i fact-- og vi vil ikke gå i stor detalje her-- alle disse blev saltet, som du måske husker fra Problemet sæt syv dokumentation. Nogle af dem har forskellige salte. Så du kan faktisk undgå at have gentagelse af bestemte tegn simpelthen ved saltning adgangskoder forskelligt. Men ting som 12345, det er en temmelig nem ting at gætte. Og helt ærligt, at problemet med alle disse passwords er, at de alle bare bruge 26 mulige tegn, eller måske 52 med nogle store bogstaver, og derefter 10 bogstaver. Jeg bruger ikke nogen funky tegn. Jeg bruger ikke nuller for O 's eller dem for jeg er eller L's eller-- hvis nogen af ​​jer tror, ​​du bliver klog, selv om, ved have et nul for en O i din adgangskode eller-- OK, jeg så nogen smil. Så nogen har et nul for en O i sin adgangskode. Du er faktisk ikke være så klog som du måske tror, ​​ikke? For hvis mere end én af os gør dette i room-- og jeg har gjort sig skyldig i dette som well-- godt, hvis alles slags at gøre dette, hvad betyder modstanderen nødt til at gøre? Blot tilføje nuller og ettaller og et par other-- måske fours til H's-- til hans eller hendes arsenal og bare erstatte dem breve til ordbogen ord. Og det er bare en ekstra sløjfe eller noget lignende. Så virkelig, den bedste forsvar for adgangskoder er noget meget, meget mere Random tilsyneladende så disse. Nu, selvfølgelig, trusler mod adgangskoder sommetider omfatte e-mails som dette. Så jeg bogstaveligt lige fået denne i min indbakke fire dage siden. Dette er fra Bretagne, der tilsyneladende arbejder på harvard.edu. Og hun skrev mig som en webmail bruger. "Vi har lige bemærket, at din e-mail konto blev logget på en anden computer i en anden placering, og du er til at kontrollere din personlige identitet. " Så tematisk i mange e-mails som dette, som er eksempler på phishing attacks-- P-H-I-S-H-I-N-G-- hvor nogen forsøger at fiske og få nogle oplysninger ud af dig, generelt med en e-mail som denne. Men hvad er nogle af de afslørende tegn på, at dette ikke er, i virkeligheden, en legitim e-mail fra Harvard University? Hvad er det? Så slemt grammatik, den underlige kapitalisering, hvordan nogle breve er kapitaliseret visse steder. Der er nogle ulige indrykning i et par steder. Hvad ellers? Hvad er det? Nå, der helt sikkert helps-- den store gule boks der siger dette kan være spam fra Google, som er helt sikkert nyttigt. Så der er en masse afslørende tegn her. Men virkeligheden er disse emails skal arbejde, ikke? Det er temmelig billigt, hvis ikke gratis, til at sende ud hundreder eller tusinder af e-mails. Og det er ikke bare ved at sende dem ud af din egen internetudbyder. En af de ting, malware har tendens til at do-- så vira og orme, der ved et uheld inficere eller computere, fordi de har skrevet af adversaries-- en af ting, de gør er bare kværne spam. Så hvad der findes i verden, i virkeligheden, er ting kaldet botnet, som er en fancy måde at sige at folk med bedre kodning færdigheder end den person, der skrev, at fejlbehæftet version af software, har faktisk skrevet software at folk som os intetanende installere på vores computere og derefter begynde at køre bag scenerne, ukendt for os. Og dem, malware programmer i forbindelse med hinanden. De danner et netværk, et botnet, hvis du vil. Og generelt, den mest sofistikerede af modstandere har en slags fjernbetjening over tusinder, hvis ikke titusinder, af computere ved blot at sende et budskab på internettet at alle disse bots, så at sige, er i stand til at høre eller lejlighedsvis anmodning fra nogle centralt sted og derefter kan styres til at udsende spam. Og disse spam ting kan være netop solgt til den højestbydende. Hvis du er en virksomhed eller slags en marginal selskab der ikke virkelig bekymrer sig om slags etik spamming dine brugere men du blot ønsker at hit ud en million mennesker og håber, at 1% af them-- som stadig en nontrivial nummer af potentiel buyers-- du kan faktisk betale disse modstandere i den form for sorte marked slags at udsende disse spams via deres botnets for dig. Så er det tilstrækkeligt at sige, det er ikke en særdeles overbevisende email. Men selv Harvard og Yale og lignende ofte begå fejl, idet vi kender fra et par uger tilbage, at du kan lave en link siger www.paypal.com. Og det ser ud som det går der. Men naturligvis er det faktisk ikke gøre det. Og så Harvard og Yale og andre har sikkert gjort sig skyldig i årenes løb i at sende e-mails der er legitime, men de indeholder hyperlinks i dem. Og vi, som mennesker, har været trænet af en slags embedsmænd, ret ofte, til rent faktisk bare følge links, som vi modtager i en e-mail. Men selv det er ikke den bedste praksis. Så hvis du nogensinde får en e-mail som denne-- og måske er det fra Paypal eller Harvard eller Yale eller Bank of America eller like-- du stadig bør ikke klikke linket, selv om det ser legitimt. Du bør manuelt skrive at webadresse selv. Og helt ærligt, det er hvad systemadministratoren skal fortælle os at gøre, så vi ikke lokket til at gøre dette. Nu, hvor mange af jer, måske ved at se ned på din plads, have passwords skrevet ned et sted? Måske i en skuffe i dit kollegieværelse eller måske under-- i en rygsæk eller andet sted? Pung? Ingen? PUBLIKUM: I en brandsikker lockbox? DAVID MALAN: I en brandsikker lockbox? OK. Så det er bedre end en gul seddel på din skærm. Så sikkert, nogle af du insisterer nej. Men noget siger mig, at der er ikke nødvendigvis tilfældet. Så hvad med en lettere, mere sandsynligt question-- hvor mange af jer bruger samme adgangskode til flere websteder? Åh, OK. Nu vi er ærlige. Okay. Så det er vidunderlige nyheder, ikke? Fordi hvis det betyder, at hvis bare en af ​​dem steder du alle bruger er kompromitteret, nu modstanderen har adgang til flere data om dig eller flere potentielle exploits. Så det er en nem en at undgå. Men hvor mange af jer har en temmelig guessable adgangskode? Måske ikke så slemt som dette, men noget? For nogle dumme hjemmeside, ikke? Det er ikke høj risiko, har ikke et kreditkort? Os alle. Ligesom, selv jeg har adgangskoder, er nok bare 12345, helt sikkert. Så nu forsøge at logge ind hver hjemmeside du kan tænke på med malan@harvard.edu og 12345 og se, om det virker. Men vi gør det, også. Så hvorfor? Hvorfor har så mange af os har enten temmelig nemme adgangskoder eller de samme passwords? Hvad er den virkelige verden rationale for dette? Det er nemmere, ikke? Hvis jeg sagde i stedet, fagligt, gutter bør virkelig være at vælge pseudotilfældige adgangskoder, er mindst 16 tegn lange og har en kombination af alfabetiske bogstaver, tal og symboler, hvem fanden sker at kunne gøre det, eller huske de adgangskoder, endsige for hver alle mulige hjemmeside? Så hvad er en holdbar løsning? Tja, en af ​​de største grillbarer i dag, også, pragmatisk, ville være ærligt, at starte bruge en form for password manager. Nu er der upsides og ulemper af disse ting, også. Det er to, som vi en tendens til at anbefale i CS50. Ens hedder knappen 1Password. Man hedder LastPass. Og nogle af jer måske bruge disse allerede. Men det er generelt en stykke software, gør det lettere at generere store pseudotilfældige adgangskoder, du kan umuligt huske som et menneske. Den gemmer dem pseudorandom adgangskoder i sin egen database, forhåbentlig på din lokale hard drive-- krypteret, endnu bedre. Og alt, hvad du, det menneskelige, nødt til at huske, typisk er en master password, som formentlig kommer til at være super lang. Og måske er det ikke tilfældige tegn. Måske er det, ligesom, en sætning eller et kort afsnit, som du kan huske og du kan skrive en gang om dagen for at låse din computer. Så du bruger en særlig stor adgangskode for at beskytte og kryptere alle dine andre passwords. Men nu er du i vane at bruge software som denne til at generere pseudorandom adgangskoder på tværs af alle de hjemmesider du besøger. Og ja, kan jeg komfortabelt siger nu, i 2015, Jeg kender ikke de fleste af mine adgangskoder længere. Jeg kender min hovedadgangskode, og jeg skriver at, ubevidst, en eller flere gange om dagen. Men opadrettede er, at nu, hvis nogen af min ene konti er i fare, der er ingen måde nogen er kommer til at bruge denne konto at komme ind i en anden, fordi ingen af mine adgangskoder er de samme længere. Og slet ingen, der, selv om han eller hun skriver kontradiktorisk software at brute force ting og gætte alle mulige passwords-- odds, som de kommer til at vælge mine 24 tegn lange passwords er bare så, så lav jeg er bare ikke bekymrede denne trussel længere. Så hvad er trade-off her? Det synes vidunderligt. Jeg er så meget mere sikker. Hvad er det trade-off? Ja? PUBLIKUM: Time. DAVID MALAN: Time. Det er meget nemmere at skriv 12345 og jeg logget i forhold til noget, der er 24 tegn eller et kort afsnit. Hvad ellers? PUBLIKUM: Hvis nogen bryder din hovedadgangskode. DAVID MALAN: Ja. Så du slags forandring trusselsbilledet. Hvis nogen gætter eller tal ud eller læser post-it i din sikre fil hvælving, master adgangskode, du har, nu alt er kompromitteret hvorved det tidligere var måske bare en konto. Hvad ellers? PUBLIKUM: Hvis du vil bruge nogen af dine konti på en anden enhed og du behøver ikke LastPass [uhørligt]. DAVID MALAN: Ja, det er form af en fangst, også. Med disse værktøjer også, hvis du ikke har din computer og du er i, ligesom, nogle cafe eller du er på en vens hus eller en computer lab eller hvor, og du ønsker at logge ind på Facebook, du ved ikke engang, hvad din Facebook password er. Nu nogle gange, kan du mindske dette ved at have en opløsning at vi vil tale om i bare et øjeblik kaldet to-faktor-autentificering hvorved Facebook vil tekst dig eller vil sende en særlig krypteret besked til din telefon eller en anden enhed, som du bærer rundt på din nøglering med som du kan logge ind. Men det er måske irriterende, hvis du er i kælderen af ​​science center eller andre steder her på New Haven campus. Du måske ikke har signal. Og så det er ikke nødvendigvis løsningen. Så det er virkelig en afvejning. Men hvad jeg ville opfordre dig til at do-- hvis du går til CS50 hjemmeside, vi faktisk arrangeret for det første af disse virksomheder til et site licens, så at sige, for alle CS50 studerende så du ikke behøver at betale $ 30 eller så det normalt koster. Til Mac og Windows, kan du tjekke ud 1Password gratis på CS50 hjemmeside, og vi vil hook dig op med det. Indse, også, at nogle af disse tools-- herunder LastPass i en af ​​dens forms-- er cloud-baseret, som Colbert siger, hvilket betyder, dine adgangskoder er encryptedly gemt i skyen. Ideen er, at du kan gå til nogle tilfældige person eller vens computer og logge ind på din Facebook konto eller lignende fordi du først gå til lastpass.com, adgang til din adgangskode, og derefter skrive det i. Men hvad er trusselsbilledet der? Hvis du opbevare ting i skyen, og du er adgang til denne hjemmeside på en eller anden ukendt computer, hvad kunne din ven gøre for dig eller dine tastetryk? OK. Jeg vil være manuelt fremrykkende glider nu af. Keylogger, ikke? En anden type malware er en keylogger, som er blot et program, der faktisk logger alt, hvad du skriver. Så der, også, det er sandsynligvis bedre at har nogle sekundære enhed som denne. Så hvad er to-faktor-autentificering? Som navnet antyder, er det du har ikke én men to faktorer, som at godkende til et websted. Så i stedet for brug blot en adgangskode, du har nogle andre anden faktor. Nu, det er generelt en, faktor er noget, du kender. Så noget slags i dit indre øje, som er din adgangskode, som du har lagret. Men to, ikke noget andet at du kender eller har huskes men noget du fysisk har. Ideen her bliver din trussel ikke længere kunne være nogle tilfældig person på internettet, der kan bare gætte eller finde ud af din adgangskode. Han eller hun skal have fysisk adgang til noget, du har, som stadig er muligt og stadig, måske, desto mere fysisk truende. Men det er i det mindste en forskellige slags trussel. Det er ikke en million navnløse mennesker derude forsøger at få ram på dine data. Nu er det en meget specifik person, måske, at hvis det er et problem, det er Et andet problem helt såvel. Så der generelt eksisterer til telefoner eller andre enheder. Og i virkeligheden, Yale netop rullet det ud midt-semester sådan at dette ikke påvirker folk i dette rum. Men de af jer følgende sammen i New Haven vide, at hvis du ville logge ind i din yale.net id, Ud over at skrive din brugernavn og din adgangskode, du derefter bedt med dette. Og, for eksempel, er dette en screenshot jeg tog i morges når jeg er logget ind på min Yale konto. Og det sender mig svarende af en tekstmeddelelse til min telefon. Men i virkeligheden, jeg hentede en app på forhånd, at Yale nu distribuerer, og jeg må nu bare skrive på kode, som de sender til min telefon. Men for at være klar, opadrettede af dette er, at nu, selv hvis nogen tal ud min Yale adgangskode, er jeg sikker. Det er ikke nok. Det er kun én nøgle, men jeg har brug for to at låse min konto. Men hvad er ulempen, måske af Yale system? Og vi vil lade Yale vide. Hvad er ulempen? Hvad er det? Hvis du ikke har celle service, eller hvis du ikke har Wi-Fi-adgang, fordi du er bare i en kælder eller noget, du måske ikke være i stand til at få budskabet. Heldigvis, i dette særlige tilfælde, dette vil bruge Wi-Fi eller noget andet, som arbejder omkring det. Men et muligt scenario. Hvad ellers? Du kan miste din telefon. Du skal bare ikke have det. Batteriet dør. Jeg mener, der er en række af irriterende scenarier men mulige scenarier der kunne ske der gør du beklager denne beslutning. Og det værst tænkelige udfald, helt ærligt, så ville være for brugerne at deaktivere denne helt. Så der er altid vil at være denne spænding. Og du er nødt til at finde for dig selv som bruger en slags sweet spot. Og for at gøre dette, tage et par af konkrete forslag. Hvis du bruger Google Gmail eller Google Apps, vide, at hvis du går til denne URL her, du kan aktivere to-faktor Godkendelse. Google kalder det 2-trins verifikation. Og du klikker på Setup, og så du gør præcis det. Det er en god ting at gøre, især disse dage, fordi takket være cookies, du er logget ind næsten hele dagen lang. Så du sjældent behøver at Skriv din adgangskode alligevel. Så du kan gøre det en gang uge, en gang om måneden, en gang om dagen, og det er mindre af en stor behandle end tidligere. Facebook, også har det. Hvis du er lidt for løs med at skrive din Facebook adgangskode i venner ' computere, i det mindste gøre det muligt for to-faktor autentificering så denne ven, selv om han eller hun har en tastetryk logger, de kan ikke komme ind på din konto. Tja, hvorfor er det? Kunne de ikke bare logge kode jeg har skrevet i på min telefon at Facebook har sendt til mig? PUBLIKUM: [uhørligt]. DAVID MALAN: Ja. Den veldesignede software vil ændre disse koder der er sendt til din telefon hver få sekunder eller hver gang og så, ja, endog hvis han eller hun finder ud hvad din kode er, er du stadig sikkert fordi det vil være udløbet. Og det er, hvad det ser gerne på Facebook hjemmeside. Men der er en anden tilgang helt. Så hvis den slags afvejninger er ikke særlig tillokkende, et generelt princip i sikkerhed ville være, ja, bare det mindste revision ting. Må ikke slags sætte dit hoved i sand og bare aldrig vide, hvis eller når du er blevet kompromitteret eller angrebet. Mindst oprettet en mekanisme der informerer dig øjeblikkeligt hvis noget unormalt er sket så du i det mindste smal vinduet i tid under som nogen kan gøre skade. Og ved dette, mener jeg following-- på Facebook, for eksempel, du kan tænde hvad de kalder login advarsler. Og lige nu, har jeg aktiveret email logge advarsler, men ikke meddelelser. Og hvad det betyder er at hvis Facebook meddelelser Jeg har logget på en ny computer-- ligesom jeg ikke har en cookie, Det er en anden IP-adresse, er det en anden type computer-- de vil, i dette scenario, send mig en mail at sige, hey, David. Ser ud til du er logget på fra en uvant computer, bare FYI. Og nu er min konto kunne være kompromitteret, eller min irriterende ven kunne have været logge ind min konto nu udstationering ting på min news feed eller lignende. Men i det mindste den tid, med som jeg er uvidende om, at er super, super smal. Og jeg kan forhåbentlig reagere. Så alle tre af disse, ville jeg siger, er meget gode ting at gøre. Hvad er nogle trusler der er lidt hårdere for os slutbrugere at beskytte mod? Er der nogen vide, hvad session kapring er? Det er en mere teknisk trussel, men meget bekendt nu, at vi har gjort pset seks og syv, og nu otte. Så huske, at når du sender trafik over internettet, et par ting til at ske. Lad mig gå videre og logge ind c9 eller CS50.io. Giv mig bare det ene øjeblik til logge ind på min jHarvard konto. PUBLIKUM: Hvad er din adgangskode. DAVID MALAN: 12345. Okay. Og herinde, ved, at hvis jeg går fremad og anmode om en web page-- og i mellemtiden, lad mig gøre det. Lad mig åbne op Chromes Inspector fane og mit netværk trafik. Og lad mig gå til http://facebook.com og rydde dette. Faktisk, ved du hvad? Lad os gå til en mere velkendt en-- https://finance.cs50.net og klik på Enter og log netværkstrafikken her. Så bemærke her, hvis jeg ser i min netværkstrafik, respons headers-- lad os gå op her. Respons headers-- her. Så den allerførste anmodning om, at jeg sendt, hvilket var til standardside, det reagerede med disse svar overskrifter. Og vi har talt om ting som placering. Ligesom, beliggenhed betyder omdirigere til login.php. Men én ting, vi ikke taler et enormt mængde om var linjer som dette. Så det er inde i virtuel kuvert, der er sendt fra CS50 Finance-- den version du fyre skrev, too-- til en brugers bærbar eller stationær computer. Og dette sætter en cookie. Men hvad er en cookie? Tænk tilbage til vores diskussion af PHP. Ja? Ja, det er en måde at fortælle websted, som du stadig er logget ind. Men hvordan fungerer det? Nå, når du besøger finance.cs50.net, det ligner denne server at vi implementeret er at sætte en cookie. Og det cookie er konventionelt kalder PHPSESSID session id. Og du kan tænke på det som en virtuel handstamp på en klub eller lignende, en forlystelsespark, et lille stykke af rødt blæk, der går på din hånd så næste gang du besøger porten, skal du blot vise din hånd, og dørmanden ved døren vil lade dig passere eller slet ikke på grundlag af dette stempel. Så den efterfølgende anmoder om, at min browser sends-- hvis jeg går til den næste anmodning og man ser på anmodning overskrifter, du vil opdage flere ting. Men det vigtigste er det fremhævede del her-- ikke indstillet cookie men cookie. Og hvis jeg bladre gennem hver en af disse efterfølgende HTTP-anmodninger, hver gang jeg ville se en hånd udvides med at nøjagtig samme PHPSESSID, hvilket vil sige dette er mechanism-- denne store pseudorandom number-- at en serveren bruger til at opretholde illusionen af PHP $ _SESSION objekt, i hvilken du kan gemme ting som brugerens id eller hvad der er i deres indkøbskurv eller en række andre stykker af data. Så hvad er konsekvenserne? Tja, hvad hvis det data ikke krypteret? Og i virkeligheden, vi for bedste praksis kryptere temmelig meget hver eneste af CS50 hjemmesider i disse dage. Men det er meget almindeligt disse dage for hjemmesider stadig ikke at have HTTPS på starten af ​​URL'en. De er bare HTTP, kolon, skråstreg skråstreg. Så hvad er konsekvenserne der? Det betyder blot, at alle disse overskrifter er inde i den virtuelle kuvert. Og enhver, der snuser luft eller fysisk aflytninger som pakke fysisk kan kigge indenfor og se hvad det cookie er. Og så sessionskapring er simpelthen en teknik at en modstander bruger til at sniffe data i luften eller på nogle kablet netværk, se inde i denne kuvert, og se, åh. Jeg kan se, at din cookie er 2kleu uanset hvad. Lad mig gå videre og gøre en kopi af din hånd stempel og nu starte besøger Facebook eller Gmail eller hvad jeg selv og bare præsentere nøjagtig samme handstamp. Og virkeligheden er, browsere og servere virkelig er, at naive. Hvis serveren ser det samme cookie, dets formål i livet bør være at sige, åh, der skal være David, der netop logget på lidt siden. Lad mig vise denne samme bruger, formodentlig, Davids indbakke eller Facebook beskeder eller noget andet i hvilken din logget. Og den eneste forsvar mod det er at bare kryptere alt inde i konvolutten. Og heldigvis, en masse steder kan lide Facebook og Google og lignende gør det i dag. Men enhver, der ikke forlader dig perfekt, perfekt sårbare. Og en af ​​de ting, du kan do-- og en af ​​de gode funktioner, helt ærligt, af 1Password, software Jeg nævnte tidligere, er, hvis du installerer det på din Mac eller PC, software, udover at opbevare din adgangskoder, vil også advare dig, hvis du nogensinde prøve logge på et websted, der er vil sende dit brugernavn og kodeord ukrypteret og i det klare, så at sige. Okay. Så session kapring koges ned til det. Men der er denne anden måde, at HTTP-headere kan anvendes til at drage fordel af os. Og det er stadig sådan et problem. Det er egentlig bare en yndig undskyldning for at stille op Cookie Monster her. Men Verizon og AT & T og andre tog en masse flak et par måneder tilbage til indsprøjtning, ukendt for brugerne i første omgang, en ekstra HTTP header. Så dem af jer der har haft Verizon Wireless eller AT & T-celle telefoner, og du har været på besøg hjemmesider via telefonen, ukendt for dig, efter din HTTP anmodninger forlade Chrome eller Safari eller hvad på din telefon, gå til Verizon eller AT & T router, de formasteligt i nogen tid har været indsprøjte en header, der ser ligesom denne-- en nøgle-værdi par, hvor nøglen er netop X-UIDH for entydig identifikator header og derefter nogle store tilfældig værdi. Og de gør det så at de kan entydigt identificere alle dine web trafik til personer, der modtager din HTTP-forespørgsel. Nu hvorfor skulle Verizon og AT & T og lignende ønsker til entydigt at identificere dig til alle de hjemmesider du besøger? PUBLIKUM: Bedre kundeservice. DAVID MALAN: Better-- no. Det er en god tanke, men det er ikke for bedre kundeservice. Hvad ellers? Reklame, ikke? Så de kan opbygge en annoncenetværk, formentlig, hvorved selvom du har slukket cookies, selvom du har særlige software på din telefon der holder dig i inkognito mode-- ha. Der er ingen inkognitotilstand, når mand i middle-- bogstaveligt, Verizon eller AT & T-- er indsprøjtning yderligere data over hvilke du har ingen kontrol, og derved afsløre hvem du er, som følger hjemmeside igen og igen. Så der er måder at fravælge dette. Men også her er noget at ærligt, den eneste måde at skubbe tilbage på dette er at efterlade transportøren helt, deaktivere den hvis de selv giver dig mulighed for, eller, som det skete i denne sag, gøre en hel del ballade online sådan at selskaberne rent faktisk reagere. Dette er også er blot en anden yndig mulighed for at vise dette. Og lad os tage et kig på, lad os sige, en eller to afsluttende trusler. Så vi talte om CS50 Finance her. Så du vil opdage, at vi har denne søde lille ikon på login-knappen her. Hvad betyder det, hvis jeg i stedet bruge dette ikon? Så før, efter. Før efter. Hvad betyder efter betyde? Det er sikkert. Det er, hvad jeg vil gerne have dig til at tænke. Men ironisk nok, det er sikkert fordi vi har HTTPS. Men det er, hvor let det er at ændre noget på en hjemmeside, ikke? Alle ved lidt af HTML og CSS nu. Og i virkeligheden, er det temmelig let at-- og hvis du ikke gjorde det-- at ændre ikonet. Men også dette er, hvad virksomheder har lært os at gøre. Så her er et screenshot fra bank af Amerikas hjemmeside her til morgen. Og læg mærke til, én, de er berolige mig, at det er en sikker tegn på øverst til venstre. Og de har også en hængelås ikon på knappen, hvilket betyder, hvad for mig, slutbrugeren? Sandelig noget, ikke? Hvad betyder noget er, at der er den store grønne URL op toppen med HTTPS. Men hvis vi zoomer ind på dette, er bare som mig, vel vidende en lille smule af HTML og en smule CSS, og sagde: hey, min hjemmeside er sikker. Ligesom, alle kan sætte en hængelås og ord sikkert sign-on på deres hjemmeside. Og det virkelig betyder noget. Hvad betyder noget er noget som dette, hvor du kan se https: //, at Bank of America har det store grønne bar, mens CS50 ikke, bare betyder, at de har betalt flere hundrede dollars mere til at have ekstra kontrol udført af deres domæne i USA, så browsere, der bekender sig til denne standard vil også vise os lidt mere end det. Så vi vil lade tingene på det, skræmme dig lidt mere inden længe. Men på onsdag, vi følgeskab af SCAZ fra Yale for et kig på kunstig intelligens og hvad vi kan gøre med disse maskiner. Vi vil se dig næste gang.