[Musikwiedergabe] 

DAVID MALAN: Dies ist CS50 und Dies ist der Beginn der 10. Woche. Und Sie könnten daran erinnern Bild von ein paar Wochen zurück wenn wir gesprochen das Internet und wie es ist tatsächlich physisch implementiert. Und Sie erinnern sich vielleicht, dass es eigentlich ein ganzes Bündel von Kabeln sowie WLAN- Technologien, die Interconnect- alle Knoten oder Router und andere solche Technologien auf dem Internet. Und viele, dass es underseas. 

Nun stellt sich heraus, dass diejenigen, underseas Kabel sind ein bisschen wie ein Tor. Und die heutige Vorlesung ist vollständig um die Sicherheit, nicht nur Bedrohungen, die wir alle stehen physisch, aber auch praktisch, und auch, in Richtung Heck heute einige der Abwehr dass wir als Benutzer können tatsächlich in Platz gesetzt. 

Zunächst aber eine der ersten und vielleicht die meisten physikalischen threat-- [VIDEO-WIEDERGABE] -Could Russland Planung sein ein Angriff auf Seekabel dass die globale Internet verbinden? 

-Russisch Schiffe und Unterseeboote lauern in der Nähe von Unterwasserkabel daß tragen fast alle der weltweit Internet. 

-Die Gesamte Internet entlang dieser Leitungen durchgeführt. 

-Erste Allem, was ist das Internet tun Unterwasser? Letztes Mal habe ich überprüft, ich bin nicht soll der Computer nass werden. Zweitens, wenn Sie mich fragen, wie das Internet Reisen von Kontinent zu Kontinent, Hätte ich gesagt habe Satelliten oder Laser, oder, ehrlich gesagt, Ich hätte wahrscheinlich gerade gesagt das Internet. 

Und was ist mit der Wolke? Mir wurde gesagt, es kam eine Wolke. Erinnern? Hey, sagen wir, dass in der Cloud. Es war wie das Internet war ein Dampf von Informationen, die die Erde umkreist, und Ihr Computer war wie eine Pfanne dass ausgehöhlt, was man benötigt. 

Aber es stellt sich heraus, das Internet ist eigentlich unter Wasser da diese Kabel führen über 95% der täglichen Internet-Kommunikation. Und US-Geheimdienste Sorgen, in Zeiten der Spannungen oder Konflikten, Russland könnte zum Durchtrennen sie zurückzugreifen. Es wäre die größte Störung sein zu Ihrem Internet-Service da Ihre Nachbarin setzen Sie ein Passwort auf dem Wi-Fi. OK? Versuchen Sie, den Namen seines Hundes. [END PLAYBACK] DAVID MALAN: Bevor wir uns nun auf einige der virtuellen Bedrohungen, ein paar Ankündigungen. Also unsere Freunde ein CrimsonEMS liegen noch Rekrutierung für neue Sanitäter, Emergency Medical Techniker. Und das ist eigentlich etwas, mir besonders am Herzen. 

Vor langer Zeit, ich erinnere mich, dass in einem Ikea kurz nach dem Studium, eigentlich. Und als ich den Laden verlassen, dies kleiner Junge, der in einem Kinderwagen war drehen begannen buchstäblich blau. Und er war auf einigen Stück Würgen der Nahrung, die vermutlich hatten bekommen in der Kehle stecken. 

Und seine Mutter war in Panik. Die Eltern um sie herum waren in Panik. Und selbst ich, der ich ein wenig Vertrautheit hatte mit EMS nur im Wege der Freunde, völlig erstarrte. Und es war nur dank etwas wie eine 15-Jährige, der Bademeister lief und eigentlich wusste, was zu tun instinktiv und rief um Hilfe und tatsächlich zog der Jungen aus seinem Kinderwagen und tatsächlich adressiert die Situation. 

Und für mich war, dass ein Wendepunkt. Und es war der Moment in Zeit, wo ich beschlossen, verdammt noch mal, Ich brauche, um meine Tat haben zusammen und eigentlich wissen wie man auf diese zu reagieren Arten von Situationen. Und so habe ich mich lizenziert vor Jahren als Rettungssanitäter. Und durch die Graduiertenschule habe ich reiten MIT Krankenwagen für eine gewisse Zeitdauer sowie als habe meine Lizenz seit gehalten. 

Und tatsächlich, bis zum heutigen Tag, die alle der CS50 Personal hier in Cambridge tatsächlich in CPR zertifiziert, sowie aus ähnlichen Gründen. Also, wenn Sie überhaupt sind Interesse an diesem, gibt es nie wieder genug Zeit sein, der Tag, um etwas Neues zu nehmen. Aber wenn Sie wollen ein Neujahrs Auflösung, nicht hier kommen diese Jungs oder zu prüfen, Annäherung an die Rote Kreuz für die Zertifizierung, entweder hier oder in New Haven, wie gut. 

So letzten Mittagessen CS50 ist an diesem Freitag. Also, wenn Sie haben noch nicht zu uns, oder wenn Sie haben und Sie ein weiteres Mal möchten, haben am CS50-Website gehen Sie zu füllen Sie das Formular gibt. Wissen auch, dass unsere Freunde in Yale, Professor Scassellati, produziert seit ein AI, künstliche Intelligenz, Serie für uns dass beginnen zu debütieren in dieser Woche auf Video. So vor allem, wenn Sie interessiert sind, bei der Verfolgung einer abschließenden Projekt irgendwie um künstliche Intelligenz bezogen, Verarbeitung natürlicher Sprache, sogar Robotik, zu realisieren, dass diese ist eine wunderbare Inspiration für das. 

Und nur, um Ihnen einen Teaser geben Dies ist hier Scaz sich. 

[VIDEO-WIEDERGABE] 

-on Der wirklich groß Dinge über Informatik ist, dass mit noch nur ein paar Wochen der Studie, Sie in der Lage sein zu verstehen sind viele der intelligenten Artefakten und Vorrichtungen, die zu füllen unserer modernen Welt. In diesem kurzen Video Serie, werden wir schauen Dinge wie, wie Netflix ist in der Lage vorschlagen und empfehlen Filme dass ich Dich, wie es ist, dass Siri können Fragen, die ich beantworten, wie es ist, dass Facebook kann mein Gesicht erkennen und automatisch mit Tags mich in einem Foto, oder wie Google ist in der Lage zu bauen ein Auto, das auf eigenen antreibt. 

So dass ich hoffe, dass Sie mich für diese kurze beitreten Reihe von Videos, die CS50 AI-Serie. Ich glaube, Sie werden feststellen, dass Sie wissen, viel mehr als Sie dachten, Sie getan haben. [END PLAYBACK] DAVID MALAN: Also diejenigen auf erscheinen der Kurs-Website im Laufe dieser Woche. Bleiben Sie dran. Und in der Zwischenzeit ein paar Ansagen, was vor uns liegt. So sind wir hier. Dies ist in unserem Vortrag über Sicherheit. Am kommenden Mittwoch, Scaz und Andy, unser Haupt Lehr Kerl in New Haven, wird hier sein, zu betrachten künstliche Intelligenz selbst für einen Blick auf Berechnung für communication-- wie man Systeme, die verwenden zu bauen Sprache, um von ELIZA zu kommunizieren, wenn du mit diesen vertraut sind Software von gestern, um Siri in jüngerer Zeit und Watson, die Sie kann von Jeopardy oder dergleichen zu kennen. 

Dann am nächsten Montag, wir sind nicht hier in Cambridge. Wir sind in New Haven für eine zweite Blick auf künstliche Intelligenz mit Scaz und company-- KI-Gegner in den Spielen. Also, wenn Sie jemals gegen gespielt haben der Computer in irgendeiner Videospiel oder Handy-Spiel oder dergleichen, werden wir sprechen über genau, wie dass-- um Gegner für Spiele zu bauen, wie man die Dinge darstellen unter der Haube mit Bäumen aus Spielen wie Tic-Tac-Toe- um Schach zu tatsächlichen modernen Videospiele, als auch. 

Leider ist ein Quiz kurz danach. Weitere Details auf, dass auf den CS50 Website im Laufe dieser Woche. Und unsere letzte Vortrag an der Yale wird sein, dass Freitag nach dem Quiz. Und unsere letzte Vortrag an der Harvard- wird der Montag danach sein, von der Natur der Terminplanung. 

Und so in Bezug auf die Meilensteine, außer pset acht dieser Woche; Statusbericht, der sein wird, ein schnelle Plausibilitätsprüfung zwischen Ihnen und Ihre Kolleginnen und Lehre; das Hackathon, der wird hier in Cambridge für Schüler von New Haven und Cambridge gleichermaßen. Wir kümmern uns um alle nehmen Transport von New Haven. Die Umsetzung des Abschlussprojekt fällig. Und dann für die beiden Campi wird es eine CS50 fair dass ermöglicht es uns, nehmen ein Blick auf und Freude in welcher jeder hat erreicht. 

In der Tat, dachte ich, das wäre eine gute Zeit, die Aufmerksamkeit auf diesem Gerät zu ziehen hier, die wir für verwendet haben einige Zeit einge, Das ist eine nette Touch-Screen. Und tatsächlich, letzte Jahr ein $ 0,99 app hatten wir dass wir aus der Windows-App heruntergeladen zu speichern, um auf dem Bildschirm zu zeichnen. 

Aber ehrlich gesagt, war es sehr unübersichtlich. Es erlaubt uns, auf der Auslosung Bildschirm, aber es gab, wie, eine Menge von Symbolen Sie sich hier ein. Die Benutzerschnittstelle war ziemlich schlecht. Wenn Sie ändern wollten bestimmte Einstellungen, es gab einfach so viele verdammte Klicks. Und der Benutzer interface-- oder genauer, der Benutzer experience-- war ziemlich suboptimal, vor allem Verwendung in ein Vortrag Umwelt. 

Und so wir erreicht zu einem Freund von uns bei Microsoft, Bjorn, der eigentlich ist gewesen folgenden zusammen mit CS50 online. Und als seine letzte Projekt, Wesentlichen, tat er sehr liebenswürdig nehmen Sie eine Eingabe von uns als genau die Merkmale und Benutzerfreundlichkeit wir wollen. Und er ging dann über den Bau für Windows Diese Anwendung hier dass ermöglicht es uns, draw-- oops-- und the-- Zauber wow. Danke. Zu zeichnen und zu buchstabieren auf diesem Bildschirm hier nur eine minimale Benutzerschnittstelle. 

Also du mich gesehen hast, vielleicht, tippen up hier überhaupt so etwas, wo wir jetzt können die Dinge in rot zu unterstreichen. Wir können wechseln und jetzt gehen Sie zu weißen Text hier. Wenn wir wollen, um tatsächlich zu löschen der Bildschirm, können wir dies tun. Und wenn wir eigentlich lieber ein weiße Leinwand, können wir das tun. Also ist es so schrecklich wenig tut, von Entwurf und tut es auch. Damit ich futz, hoffentlich, weit weniger in diesem Jahr in der Klasse. 

Und vielen Dank auch an einen Schützling seines trage ich heute einen kleinen Ring. Dies ist Benjamin, der war Praktikum mit Bjorn in diesem Sommer. So ist es ein wenig Ring. Es ist ein wenig größer als meine üblichen Ring. Sondern über einen kleinen Zifferblatt auf die Seite, hier kann ich wirklich bewegen sich die Schieber nach links und rechts, vorne und zurück, und tatsächlich die Dinge voranzubringen drahtlos, so dass man, glaube ich nicht haben um immer wieder zurück, um über der Leertaste Hier. Und zwei, habe ich nicht zu haben, einer jener dummen clickers und beschäftigen meine Hand durch Halten das verdammte Ding die ganze Zeit Um klicken Sie einfach auf. Und sicher, in der Zeit, die Hardware- wie diese zu erhalten super, super kleiner. 

So sicher, zögern Sie nicht, um die Ecke denken und Dinge tun, und erstellen Dinge, die nicht tun, auch existieren noch für Abschlussarbeiten. Ohne weitere Umschweife, ein Blick auf, was Sie erwartet Sie tauchen ein in die endgültige Projekte am CS50 Hackathon 

[VIDEO-WIEDERGABE] 

[Musikwiedergabe] 

[SCHNARCHEN] [END PLAYBACK] DAVID MALAN: Alles klar. So der Stephen Colbert Clip dass ich noch vor einem Augenblick zeigte war eigentlich auf dem Fernseher vor wenigen Tagen. Und in der Tat eine Reihe von anderen Clips wir zeigen heute sind unglaublich jung. Und in der Tat spricht also das Tatsache, dass so viel von Technologie und, offen gesagt, viele der Ideen wir haben etwa in CS50 sprechen wirklich sind allgegenwärtig. Und eines der Ziele der der Kurs ist sicher um Ihnen mit technischen Fähigkeiten so auszustatten dass Sie tatsächlich Probleme zu lösen programmatisch, sondern zwei, so dass können Sie tatsächlich bessere Entscheidungen zu treffen und fundiertere Entscheidungen treffen. Und in der Tat, in der gesamten Themen Presse und Online-Videos und Artikel in diesen Tagen ist nur ein erschreckend Missverständnis oder mangel Verständnis dafür, wie Technologie arbeitet, vor allem unter den Politikern. 

Und so in der Tat, in der nur ein bisschen wir werden einen Blick auf eine dieser Angaben, auch. Aber buchstäblich nur dauern Nacht saß ich in Bertucci ist, eine lokale Franchise-Italiener. Und ich hüpfte auf ihre Wi-Fi. Und ich war sehr beruhigt um zu sehen, dass es sicher ist. Und ich wusste, dass, weil es sagt, hier "Secure Internet-Portal" wenn der Bildschirm kam. Das war also der kleine Aufforderung das kommt in Mac OS oder in Windows, wenn Sie eine Verbindung zu ein WLAN-Netzwerk zum ersten Mal. Und ich hatte, um durch ihre Geschäftsbedingungen gelesen Bedingungen und schließlich auf OK. Und dann durfte ich gehen. 

Deshalb fangen wir zu dem, was alle zu überdenken dies bedeutet, und nicht mehr zu nehmen gewährt, was die Leute sagen uns, wenn wir stoßen sie mit verschiedenen Technologien. So eins, was bedeutet es, dass Dies ist eine sichere Internet-Portal? Was könnte die Bertucci werden beruhigend mich? Publikum: Die gesendeten Pakete hin und her, werden verschlüsselt. DAVID MALAN: Good. Wobei die Pakete zurückgesendet und weiter werden verschlüsselt. Ist das tatsächlich der Fall? Wenn das der Fall wäre, was würde ich zu tun haben, oder was müsste ich das wissen? Nun, Sie ein wenig sehen würden, Schloss-Symbol in der Mac OS oder Windows selbst, dass es ist in der Tat einige Verschlüsselungs oder kriechen, vor sich geht. Aber bevor Sie eine verschlüsselte verwenden können Portal oder Wi-Fi-Verbindung, was wollen Sie in der Regel geben Sie haben? Ein Passwort. Ich weiß nicht wie vergessen, noch habe ich eine solche Kennwort eingeben. Ich habe einfach auf OK geklickt. Also das ist ganz und gar bedeutungslos. Dies ist nicht ein sicheres Internet-Portal. Dies ist ein 100% unsichere Internet-Portal. Es gibt absolut keine Verschlüsselung gehen auf, und alles, was damit zu sichern ist, dass Drei-Wort-Satz auf dem Bildschirm gibt. 

Das heißt also, nichts, unbedingt, technologisch. Und ein wenig mehr Besorgnis erregend, wenn Sie tatsächlich durch die Geschäftsbedingungen gelesen, die überraschend lesbar sind, war this-- "Sie Verständnis, dass wir zu reservieren das Recht, dich einzuloggen oder überwachen Traffic auf sicherzustellen, dass diese Begriffe eingehalten werden. " Also das ist ein wenig gruselig, wenn Bertucci ist ist gerade meine Internet-Verkehr. Aber die meisten jede Vereinbarung, dass Sie habe blind durch geklickt hat sicherlich sagte, dass vor. 

Also, was das tatsächlich tut meine technologisch? So, wenn es etwas gruselig Mann oder Frau, die auf der Rückseite wer, wie, Überwachung alle Internet-Verkehr, wie wird er oder sie Zugriff dass die Informationen genau? Was sind die technischen bedeutet, über die dass person-- oder Gegner, mehr generally-- kann sein Blick auf unsere Verkehrs? 

Nun, wenn es keine Verschlüsselung, was Arten von Dingen konnten sie schnüffeln, so zu sprechen, eine Art zu erkennen in der Luft. Was würden Sie zu betrachten? Ja? 

Publikum: Die Pakete gesendet von Ihrem Computer an den Router? 

DAVID MALAN: Ja. Die Pakete aus geschickt der Computer an den Router. So könnten Sie sich erinnern, wenn wir waren in New Haven, Wir übergeben diese Umschläge, körperlich, im ganzen Publikum zu vertreten Daten gehen über das Internet. Und sicher, wenn wir werfen sie durch das Publikum drahtlos um ihr Ziel zu erreichen, kann jeder Art ergreifen Sie es und machen Sie eine Kopie davon und tatsächlich sehen, was innerhalb dieses Umschlags. 

Und, natürlich, was Innere dieser Hüllen ist eine beliebige Anzahl von Dingen, einschließlich der IP-Adresse , dass Sie versuchen, Zugriff oder der Host-Name, wie www.harvard.edu oder yale.edu, dass Sie versuchen, zuzugreifen oder etwas ganz anderes. Darüber hinaus ist der Weg, too-- Sie wissen, pset sechs, dass innerhalb der HTTP-Anforderungen werden erhalten, Schrägstrich something.html. Also, wenn Sie den Besuch einer bestimmten Seite, Herunterladen eines bestimmten Bildes oder Videos, all diese Informationen innerhalb dieses Pakets. Und so jemand da in Bertucci der Dose sein Blick auf die sehr gleichen Daten. Nun, was sind einige andere Gefahren in dieser Richtung darauf achten, bevor Sie starten Sie einfach als Tatsache zu akzeptieren was für jemanden wie Bertucci der sagt Ihnen, einfach? Nun, das war ein article-- eine Reihe von Artikeln dass kam nur ein paar Monate zurück. All die Wut in diesen Tagen sind diese neumodischen Smart-TVs. Was ist ein Smart-TV, wenn Sie schon von ihnen gehört oder Sie haben ein zu Hause? ZIELGRUPPE: Internet-Konnektivität? DAVID MALAN: Ja, Internet-Konnektivität. So im Allgemeinen, ist eine intelligente TV ein TV mit Internet-Anbindung und ein wirklich crappy Benutzer Schnittstelle, macht es schwieriger, tatsächlich das Web nutzen weil Sie zu bedienen, wie bis zu haben, unten, links und rechts oder etwas auf Ihrer Fernbedienung einfach die Dinge, die so viel sind, zuzugreifen leichter auf einem Laptop durchgeführt. 

Aber mehr beunruhigend zu einem Smart TV, und Samsung TVs in diesem besonderen Fall, war, dass Samsung TVs und andere in diesen Tagen mit bestimmten Hardware kommen zu schaffen, was sie behaupten, ist eine bessere Benutzeroberfläche für Sie. So einen kann man spricht einige Ihrer TVs in diesen Tagen, nicht unähnlich Siri oder einen der andere Äquivalente auf Mobiltelefonen. So kann man sagen, Befehle, wie Kanalwechsel, erhöhen Lautstärke, schalten, oder dergleichen. Aber was ist die Implikation der, dass logisch? Wenn Sie das Fernsehgerät in Ihrem Wohnzimmer haben Zimmer oder das TV am Fuße der Ihrem Bett schlafen zu fallen, was ist die Bedeutung? Ja? 

Publikum: Es könnte etwas sein, geht in durch den Mechanismus Ihre Rede zu erkennen. DAVID MALAN: Ja. ZIELGRUPPE: Das könnte über das Internet gesendet werden. Wenn es unverschlüsselt dann ist es anfällig. DAVID MALAN: In der Tat. Wenn Sie ein Mikrofon aufgebaut haben in einen Fernseher und dessen Zweck im Leben ist vom Design her zu hören für Sie und auf Sie zu reagieren, es ist sicher gehen, um sein hören alles, was Sie sagen, und dann übersetzen, dass zur einige eingebettete Anweisungen. Aber der Haken ist, dass die meisten von ihnen TVs sind nicht perfekt Smart selbst. Sie sind sehr abhängig von dass Internet-Anschluss. 

So ähnlich wie Siri, wenn die Sie in Ihr Telefon zu sprechen, schneller, fing, dass Daten über das Internet, um Apple-Servern, dann wird eine Antwort zurück, wörtlich ist das Samsung TV und Äquivalente einfach alles, was Sie senden sagen in Ihrem Wohnzimmer oder Schlafzimmer auf ihre Server nur um erkennen, hat er gesagt, schalten Sie den Fernseher oder schalten Sie den Fernseher? Und Gott weiß, was sonst noch gesprochen werden. Nun, es gibt einige Möglichkeiten, um dies zu mildern, nicht wahr? Wie, was funktioniert und was Siri tut Google und andere tun zumindest gegen zu verteidigen , dass die Gefahr, dass sie Hören wirklich alles? Es muß aktiviert werden, indem er sagte etwas, wie, hey, Siri, oder hallo Google oder dergleichen, oder OK, Google oder dergleichen. 

Aber wir alle wissen, dass diejenigen, Ausdrücke Art zu saugen, oder? Wie ich gerade sitting-- eigentlich das letzte Mal, I am Bürozeiten an der Yale war, glaube ich, Jason oder einer der TFs schrie immer, wie, hey, Siri, hey, Siri und machte mein Handy Dinge tun, weil auch er proximal zu meinem eigentlichen Telefon. Aber das Gegenteil der Fall ist, zu. Manchmal sind diese Dinge einfach Tritt auf, denn es ist nicht perfekt. Und in der Tat, natürliche Sprache processing-- Verständnis Phrasierung eines Menschen und dann etwas zu tun, basierend auf es-- ist sicherlich nicht perfekt. 

Nun, schlimmer noch, einige von euch vielleicht gesehen haben oder verfügen über einen TV, wo Sie tun können dumm oder New-Age-Dinge wie diese um die Kanäle auf der linken Seite ändern oder Dies, um die Kanäle auf der rechten Seite ändern oder senken Sie die Lautstärke oder die Lautstärke zu erhöhen. Aber was bedeutet das das Fernsehgerät? Eine Kamera auf Sie zu allen möglichen Zeiten. 

Und in der Tat, die brouhaha rund Samsung TVs, für die sie brauchte einige Flack ist, dass wenn Sie die Bedingungen gelesen und Bedingungen der TV-- der Sache Sie sicherlich nie gelesen beim Auspacken Ihr Fernsehgerät zum ersten Zeit-- eingebettet dort war ein wenig Haftungsausschluss sagen, das Äquivalent von, a Sie vielleicht nicht wollen, persönliche haben Gespräche vor diesem TV. Und das ist, was es reduziert sich auf. 

Aber Sie sollten nicht selbst muss gesagt werden, dass. Sie sollten in der Lage zu sein, folgern aus der Wirklichkeit dass Mikrofon und Kamera buchstäblich zeigte auf mich die ganze Zeit vielleicht ist mehr schlecht als recht. Und ehrlich gesagt, das sage ich etwas scheinheilig. Ich buchstäblich neben dieser Kameras, Ich habe einen kleinen kleinen Kamera hier in meinem Laptop. Ich habe ein anderes hier. Ich habe das in meinem Handy auf beiden Seiten. So daß ich nicht put it down der falsche Weg, sie kann mich immer noch sehen und hören Sie mich an. 

Und all dies könnte passiert die ganze Zeit. Was hält mein iPhone oder Android- Telefon zu tun, das die ganze Zeit? Woher wissen wir, dass Apple und einige gruselige Person bei Google, nicht zuhören, um Dieses sehr Gespräch über das Telefon oder Gespräche Ich habe zu Hause oder bei der Arbeit? 

ZIELGRUPPE: Weil unser Leben sind nicht so interessant. 

DAVID MALAN: Weil unsere Leben ist nicht so interessant. Das ist eigentlich eine gültige Antwort. Wenn wir uns keine Sorgen über eine bestimmte Bedrohung, Es ist eine Art, die kümmert Aspekt. Meine Wenigkeit nicht geht um wirklich ein Ziel sein. Aber sie konnten sicher. 

Und so, obwohl Sie einige sehen kitschig Sachen auf TV und Filme, wie, oh, lassen Sie uns auf dem Gitter drehen und-- wie Batman tut dies viel, eigentlich, und tatsächlich können Gotham, was ist geht über Handys der Menschen oder dergleichen. Einige, dass ist ein wenig futuristisch, aber wir sind ziemlich viel da in diesen Tagen. 

Fast alle von uns sind herum mit GPS Transponder, die ist erzählt Apple und Google und alle anderen, die will, wissen, wo wir in der Welt sind. Wir verfügen über ein Mikrofon. Wir haben eine Kamera. Wir sagen Dinge wie snapchat und andere Anwendungen, die wir kennen, alle ihre Telefonnummern, alle ihre E-Mail-Adressen. Und so wieder, einer der Imbissbuden Heute hoffentlich auf mindestens Pausen ein wenig vor einfach blind sagen: OK wenn Sie wollen, dass die Bequemlichkeit der snapchat zu wissen, wer alle Ihre Freunde ist. Sondern umgekehrt, jetzt snapchat jeder weiß, Sie wissen, und alle kleinen Noten, die Sie vielleicht haben in Ihrem Kontakte geknüpft. 

Das war also zur rechten Zeit, zu. Vor ein paar Monaten, snapchat selbst nicht beeinträchtigt wird. Jedoch gab es einige Anwendungen von Drittanbietern dass es leichter gemacht, um zu speichern rastet Und der Haken war, dass dieser Drittanbieter-Service- wurde selbst beeinträchtigt wird, zum Teil, weil snapchat Dienst unterstützt ein Feature, das sie wahrscheinlich nicht haben sollte, die für erlaubt Diese Archivierung von einem Dritten. 

Und das Problem, dass ein Archiv der, wie, 90.000 Druckknöpfen, denke ich, wurden schließlich beeinträchtigt. Und so könnte man etwas Trost in nehmen Dinge wie snapchat als vergänglich, Recht? Sie haben 7 Sekunden, zu betrachten dass unangemessene Nachricht oder Notiz, und dann verschwindet er. Aber eine, die meisten von euch Wahrscheinlich haben herausgefunden, wie man Screenshots von jetzt an, nehmen Sie die ist die einfache Möglichkeit, dass zu umgehen. Aber zwei, gibt es nichts hindert die Unternehmen oder die Person, die auf dem Internet abfangen, dass Daten, die möglicherweise, wie gut. 

Das war also buchstäblich nur ein oder zwei Tagen. Das war ein schöner Artikel Schlagzeile auf eine Website online. "Epischer Fail-- Strom Worm Ransomware Versehentlich Zerstört Opfers Daten während der Verschlüsselung. " Also ein weiterer zerrissen von der Schlagzeilen Art der Sache hier. So haben Sie vielleicht hörte von Malware, die bösartig software-- so schlecht Software dass Menschen mit zu viel Freizeit schreiben. Und manchmal, es funktioniert einfach dumme Dinge wie Löschen von Dateien oder senden Spam oder ähnliches. 

Aber manchmal, und immer, es ist mehr anspruchsvoll, nicht wahr? Sie alle wissen, wie man plantschen in Verschlüsselung. Und Caesar und Vigenere sind nicht super sicher, aber es gibt andere, die, natürlich, die anspruchsvollere sind. Und so was dieser Gegner hat wurde ein Stück Malware geschrieben dass irgendwie infiziert ein Haufen von Computern der Menschen. Aber er war irgendwie ein Idiot und schrieb ein Buggy-Version dieser Malware so daß, wenn er oder sie implementiert die code-- oh, wir sind immer eine Menge von-- sorry. Wir bekommen eine Menge trifft auf das Mikrofon. OK. 

Also, was das Problem war, dass er schrieb einige schlechte Code. Und so erzeugt pseudozufällig einen Verschlüsselungsschlüssel mit dem zum Verschlüsseln jemandes Daten böswillig, und dann versehentlich warf entfernt der Verschlüsselungsschlüssel. So die Wirkung dieser Malware wurde nicht, wie beabsichtigt, Lösegeld jemand die Daten durch Verschlüsseln seine Festplatte und dann erwarten, $ 800 US Gegenleistung für den Verschlüsselungsschlüssel, an welcher Stelle das Opfer konnte Entschlüsselung seiner Daten. Vielmehr ist der Bösewicht einfach verschlüsselt alle Daten, auf ihrer Festplatte, versehentlich gelöscht den Verschlüsselungsschlüssel, und bekam kein Geld aus ihm heraus. Das bedeutet aber auch, dass das Opfer wirklich ein Opfer, weil jetzt er oder sie kann nicht wiederhergestellt werden irgendwelche Daten, es sei denn sie tatsächlich haben einige der alten Schule Backup davon. 

Also auch hier ist eine Art Realität dass Sie über diese Tage zu lesen. Und wie kann man gegen diese zu verteidigen? Nun, das ist eine ganze Dose von Würmern, soll kein Wortspiel, über Viren und Würmer und dergleichen. Und es ist sicherlich Software mit dem man sich selbst zu verteidigen. Aber besser als das ist nur um darüber schlau zu sein. 

Tatsächlich haven't-- I ist dies einer der diese zu tun, was ich sage, nicht wie ich Dinge zu tun, perhaps-- Ich habe nicht wirklich verwendet Antivirus-Software in Jahren denn wenn man in der Regel wissen, was zu suchen, können Sie gegen die meisten verteidigen alles auf eigene Faust. Und tatsächlich, rechtzeitig hier bei Harvard-- gab es einen Bug oder ein Problem letzte Woche, wo Harvard ist klar, wie, Überwachung viel Netzwerkverkehr. Und alle von Ihnen selbst CS50-Website besuchen könnte eine Warnung Spruch bekommen haben dass man nicht besuchen Sie diese Website. Es ist nicht zu sichern. Aber wenn man versucht, den Besuch Google oder anderen Seiten, Auch diejenigen, waren auch unsicher. 

Das ist, weil der Harvard hat auch eine Art Filtersystem das ist ein Auge auf potenziell schädlichen Websites zu helfen, schützen uns vor uns. Aber selbst diese Dinge sind klar unvollkommen, wenn nicht fehlerhaft, selbst. 

So hier-- wenn Sie neugierig sind, werde ich lassen Sie diese Folien bis online-- ist die eigentliche Information dass der Gegner hat. Und er oder sie war Bitte um in bitcoin-- Das ist eine virtuelle currency-- $ 800 US tatsächlich entschlüsseln Sie Ihre Daten. Leider ist diese war völlig vereitelt. So, jetzt wir betrachten etwas mehr politische. Und wieder, hier ist das Ziel, zu starten, um darüber, wie denken, Sie können fundiertere Entscheidungen treffen. Und das ist etwas, geschieht derzeit in Großbritannien. Und das war eine wunderbare Slogan aus einem Artikel über dieses. Das Vereinigte Königreich stellt, wie Sie werden sehen, ein neues Überwachungs Rechnung, wobei das Vereinigte Königreich schlägt vor, alles zu überwachen die Briten für einen Zeitraum von einem Jahr zu tun. Und dann werden die Daten hinausgeworfen. Zitat, Zitat Ende: "Es wäre dienen einer Tyrannei gut. " 

Werfen wir also einen Blick mit ein Freund von Mr. Colbert. 

[VIDEO-WIEDERGABE] 

Begrüßungs, willkommen, willkommen "Letzte Woche heute Abend." Vielen, vielen Dank für Ihre Teilnahme. Ich bin John Oliver. Nur Zeit für eine kurze Wiederholung der Woche. Und wir beginnen mit dem Vereinigten Königreich, Dest Zauberreich der Erde. 

Diese Woche Debatte tobt über dort über eine umstrittene neue Gesetz. 

-Das Britische Regierung ist Enthüllung neue Überwachungsgesetze dass seine Macht erheblich verlängern Die Aktivitäten von Menschen online zu überwachen. 

-Theresa Kann es nennt es ist eine Genehmigung für den Betrieb. Andere haben es eine genannt Schnüffler-Charta, haben sie nicht? 

Nun, halten because-- Snoopers Charter ist nicht der richtige Ausdruck. Das klingt wie die Vereinbarung ein Acht-Jährige ist gezwungen, vielversprechend zu klopfen unterzeichnen bevor er eintritt Schlafzimmer seiner Eltern. Dexter, melden Sie dies Snoopers Charter- oder können wir nicht für das, was Verantwortung gezogen werden man zu sehen. 

Dieses Gesetz könnte möglicherweise zu schreiben in Gesetz ein großer Eingriff in die Privatsphäre. 

-Unter Den Plänen, eine Liste der Websites von jeder Person in Großbritannien besucht für ein Jahr aufgezeichnet und könnte Polizei und Sicherheit zur Verfügung gestellt werden Dienstleistungen. 

-einer Kommunikations Daten nicht preisgeben würde, die genaue Webseite, die Sie angeschaut, aber es wäre die Website war es auf zu zeigen. -OK. So wäre es nicht speichern, die genaue Seite, nur die Website. Aber das ist immer noch eine Menge von Informationen. Zum Beispiel, wenn jemand besucht orbitz.com, Sie würden wissen, sie waren Nachdenken über eine Reise. Wenn sie yahoo.com besucht, würden Sie weiß, sie hatte gerade einen Schlaganfall und vergessen, das Wort "Google". Und wenn sie besucht vigvoovs.com, würden Sie wissen, sie sind geil und deren B-Taste funktioniert nicht. 

Und doch für alle die Kehr Befugnisse der Gesetzentwurf enthält, Britische Innenminister Theresa May besteht darauf, dass Kritiker haben es ausgeblasen in keinem Verhältnis. 

-Ein Internetverbindung Datensatz ist eine Aufzeichnung der Kommunikationsdienst dass eine Person verwendet wurde, nicht ein Rekord jeder Web-Seite haben sie abgerufen. Es ist einfach das moderne Äquivalent von einer detaillierten Telefonrechnung. 

-Ja, Aber das ist nicht ganz so beruhigend, wie sie denkt es ist. Und ich werde Ihnen sagen, warum. Erstens glaube ich nicht, dass die Regierung Blick auf meine Anrufe nicht. Und zweitens, ein Internet-Browser-Verlauf Aus ein wenig anders Eine detaillierte Telefonrechnung. Keiner ihrer Telefon hektisch löscht Rechnung jedes Mal, wenn sie einen Anruf. 

[END PLAYBACK] DAVID MALAN: Ein Muster Schwellen , wie ich mich vorbereiten für die Klasse. Es ist nur zum TV für eine Woche zu sehen und sehen, was dabei herauskommt, klar. So dass auch das war nur von den letzten Nacht auf "Letzte Woche heute Abend." Lassen Sie uns also beginnen, jetzt sprechen über einige der Abwehrkräfte. In der Tat, für etwas, wie folgt, in dem die Briten schlagen, um ein Protokoll dieser Art zu halten von Daten, in denen möglicherweise ein plötz werden? Nun, erinnern von pset sechs, pset sieben und acht pset jetzt daß innerhalb dieser virtuellen envelopes-- zumindest für HTTP-- sind Nachrichten, die wie folgt aussehen. Und so diese Mitteilung, ist natürlich nicht nur die sich an eine bestimmte IP-Adresse, die die Regierung hier oder dort könnte sicherlich einloggen. Aber auch innerhalb der Hülle eine ausdrückliche Erwähnung des Domain-Namens das ist besuchten. Und wenn es nicht nur Schrägstrich, könnte es tatsächlich sein, eine bestimmte Dateinamen oder ein bestimmtes Bild oder Film- oder wiederum etwas von Sie interessieren könnten sicher abgefangen werden, wenn der gesamte Netzwerkverkehr irgendwie, die Proxy- durch staatliche Server, wie es bereits in einigen Länder oder wenn sind Art von unbekannten oder undisclosed Vereinbarungen wie bereits in diesem geschehen ist Land zwischen bestimmten großen players-- ISPs und Telefonunternehmen und die like-- und die Regierung. 

So lustig story-- das letzte Mal, ich wählte badplace.com aus der Spitze von meinem Kopf als ein Beispiel einer flüchtigen Website, habe ich nicht wirklich Tierarzt vorher, ob diese tatsächlich einem badplace.com geführt. Gott sei Dank, diese Domäne Name ist nur geparkt, und es nicht wirklich führen zu einer badplace.com. Also werden wir auch weiterhin verwenden, dass man für den Moment. Aber ich habe gehört, dass könnte nach hinten losgehen haben sehr schlecht, dass bestimmten Tag. 

Lassen Sie uns also beginnen, jetzt sprechen über bestimmte Abwehrkräfte und welche Löcher gibt sogar in jenen sein. So Passwörtern ist eine Art, die Go-to beantworten für eine Vielzahl von Abwehrmechanismen, nicht wahr? Nur mit einem Passwort schützen, dann Das wird der Gegner draußen zu halten. Aber was heißt das eigentlich? 

So erinnern vor Hacker- zwei, zurück, wenn Sie in Angriff genommen dass--, wenn Sie musste Passwörter zu knacken in einem file-- oder sogar bei der Problem set sieben, wenn wir Ihnen ein Beispiel-SQL Datei einiger Benutzernamen und Passwörter. Dies waren die Benutzernamen Sie sah, und das waren die Hashes dass wir für die verteilte Hacker-Ausgabe des Problems stellte zwei. Und wenn Sie sich schon gefragt haben alles Zeit, was die tatsächlichen Passwörter waren, das ist, was in der Tat sie zu entschlüsseln, die Sie könnten in pset zwei geknackt haben, oder Sie konnte spielerisch dargestellt haben sie in Problem stellte sieben. Alle von ihnen haben einige hoffnungs niedliche Bedeutung hier oder in New Haven. 

Aber das Essen zum Mitnehmen ist, dass alle von ihnen, zumindest hier, sind ziemlich kurz, ziemlich erraten. Ich meine, basierend auf der Liste hier, die vielleicht die einfachste zu knacken, um aus, indem er heraus Software, die nur Vermutungen und überprüft, würdest du sagen? ZIELGRUPPE: Passwort. DAVID MALAN: Passwort ist ziemlich gut, nicht wahr? Und es ist just-- einem, es ist eine sehr häufige Passwort. In der Tat, es gibt jedes Jahr eine Liste der die häufigsten Passwörter in der Welt. Und Zitat, unquote "password" ist in der Regel oben auf dieser Liste. Zwei, es ist in einem Wörterbuch. Und Sie wissen, von der Problem stellte fünf, dass es nicht dass hard-- könnte ein wenig Zeit consuming-- aber es ist nicht so schwer zu laden ein großes Wörterbuch in den Speicher und dann verwenden, um Art Vermutung und Scheck alle möglichen Wörter in einem Wörterbuch. 

Was sonst noch schön sein leicht zu erraten und zu überprüfen? Ja? 

Publikum: Die Wiederholung der Buchstaben. 

DAVID MALAN: Die Wiederholung von Symbolen und Buchstaben. So Art von Art. Also, in fact-- und wir werden nicht in große gehen Detail hier-- alle diese wurden gesalzen, was Sie vielleicht von erinnern Problem Set Dokumentation Sevens. Einige von ihnen haben unterschiedliche Salze. So könnte man eigentlich vermeiden, Wiederholung bestimmter Zeichen einfach durch unterschiedlich Salzen die Passwörter. 

Aber Dinge wie 12345, das ist, eine ziemlich einfache Sache zu erraten. Und ehrlich gesagt, das Problem mit all diesen Passwörtern ist, dass sie alle nur mit 26 möglichen Zeichen, oder vielleicht 52 mit einigen Großbuchstaben, und dann 10 Buchstaben. Ich bin nicht mit keine flippige Zeichen. Ich bin nicht mit Nullen für O oder diejenigen, denn ich oder L's oder-- wenn einer von euch denken, dass Sie sind klug, wenn durch mit für einen O in Ihr Passwort ein Null- oder-- OK, sah ich jemanden Sie Lächeln. So jemand eine Null hat ein O in sein Passwort. 

Sie sind nicht tatsächlich in der als klug wie Sie vielleicht denken, nicht wahr? Weil, wenn mehr als eine der uns tut dies in der room-- und ich habe als well-- von diesem schuldig Nun, wenn jeder Art, dies zu tun, was der Gegner zu tun haben? Fügen Sie einfach Nullen und Einsen und ein paar other-- vielleicht Fours für H's--, seine oder ihre Arsenal und einfach zu ersetzen diejenigen, Buchstaben für die Wörter aus dem Wörterbuch. Und es ist nur eine zusätzliche Schleife oder so ähnlich. 

Also wirklich, das beste Verteidigung für Passwörter ist etwas viel, viel mehr Zufalls schien dann diese. Nun, natürlich, Drohungen gegen Passwörter manchmal auch E-Mails so. Also habe ich wirklich nur diese habe in meinem Posteingang vor vier Tagen. Dies ist aus der Bretagne, die anscheinend arbeitet bei harvard.edu. Und sie schrieb mir als Webmail-Anwender. "Wir gerade aufgefallen, dass Ihre E-Mail Konto angemeldet wurde auf einem anderen Computer an einem anderen Ort, und Sie sind, um sicherzustellen, Ihre persönliche Identität. " 

In viele E-Mails wie so thematischen Diese, die Beispiele sind phishing attacks-- P-H-I-S-H-I-N-G-- wobei jemand versucht, zu fischen und erhalten einige Informationen aus Ihnen heraus, in der Regel durch eine E-Mail wie diese. Aber was sind einige der verräterischen Anzeichen dafür, dass dies in der Tat nicht, eine legitime E-Mails von Harvard Universität? Was ist das? 

So schlechte Grammatik, die komisch Kapitalisierung, wie einige Buchstaben sind an bestimmten Stellen aktiviert. Es gibt einige seltsame Einbuchtung in ein paar Plätze. Was sonst? Was ist das? Nun, das ist sicherlich helps-- den großen gelben Kasten das sagt dies Spam sein Google, die sicherlich hilfreich ist. 

Es gibt also eine Menge von verräterischen Anzeichen hier. Aber die Realität ist diese E-Mails arbeiten müssen, nicht wahr? Es ist ziemlich billig, wenn nicht frei, zu senden Hunderte oder Tausende von E-Mails. Und es ist nicht nur durch das Senden sie aus der eigenen ISP. Eines der Dinge, Malware neigt, do-- so Viren und Würmer, die versehentlich infizieren oder Computern weil sie wurde durch adversaries-- einer der schriftlichen Dinge, die sie tun, ist nur Churn Spam. 

Also, was es nicht gibt in der Welt, in der Tat, sind die Dinge genannt Botnets, das ist eine andere Art zu sagen dass Menschen mit besseren Codierung Fähigkeiten als die Person, schrieb, dass buggy Version von Software, tatsächlich geschriebene Software dass Leute wie uns ahnungslos Installieren Sie auf unseren Computern und starten Sie dann läuft hinter die Szenen, unbemerkt von uns. Und diejenigen, Malware Programme miteinander kommunizieren. Sie bilden ein Netzwerk, ein Botnetz, wenn man so will. Und in der Regel, die am anspruchsvoll von Gegnern hat eine Art von Fernsteuerung Tausende, wenn nicht Zehntausende, von Computern, die nur das Senden eine Nachricht über das Internet daß alle diese Bots sozusagen sind in der Lage zu hören, oder gelegentlich Anfrage von einigen zentralen Standort und dann gesteuert werden, um Spam versenden werden. 

Und diese Spam Dinge sein können nur an den Meistbietenden verkauft. Wenn Sie ein Unternehmen sind, oder Art von einem Rand Unternehmen das nicht wirklich über die Art von Ethik des Spamming Benutzer aber Sie wollen einfach nur traf sich eine Million Menschen und hoffen, dass 1% them-- die noch eine nicht-triviale Nummer potenzieller buyers-- Sie tatsächlich bezahlen können diese Gegner in der Art von Schwarzmarkt von Sorten zu senden, diese Spams über ihre Botnetze für Sie. 

So genügt es zu sagen, das ist nicht ein besonders überzeugende E-Mail. Aber auch Harvard und Yale und dergleichen oft Fehler zu machen, dadurch gekennzeichnet, dass Wir wissen von einigen Wochen zurück, dass Sie machen können, ein Link sagen www.paypal.com. Und es sieht aus wie es da geht. Aber natürlich ist es nicht wirklich tun. 

Und so Harvard und Yale und andere haben sicherlich über die Jahre seinen im Versenden von E-Mails die legitim sind, aber sie Hyperlinks in ihnen enthalten. Und wir als Menschen haben nach Art der Beamten geschult, sehr oft, um tatsächlich folgen Links, die wir in einer E-Mail erhalten. Aber auch das ist nicht die beste Praxis. Also, wenn Sie jemals bekommen, eine E-Mail wie this-- und vielleicht ist es von Paypal oder Harvard oder Yale oder Bank of America oder der like-- Sie noch nicht klicken sollte der Link, auch wenn es aussieht legitim. Sie sollten manuell eingeben hin, dass die URL selbst. Und ehrlich gesagt, das ist, was Der Systemadministrator sollte sagen uns, dies zu tun wir sind nicht in dies zu tun ausgetrickst. 

Nun, wie viele von euch, vielleicht Dazu suchen Sie in Ihrem Sitz nach unten, haben Passwörter irgendwo geschrieben? Vielleicht in einer Schublade in Ihrem Zimmer im Studentenwohnheim oder vielleicht under-- in einem Rucksack irgendwo? Brieftasche? Nein? 

Publikum: In einem feuersicheren Lockbox? 

DAVID MALAN: In einem feuersicheren Lockbox? OK. Also das ist besser, als ein Notiz auf Ihrem Monitor. So sicher, einige der Sie bestand darauf, sich nicht. Aber etwas sagt mir, das ist nicht unbedingt der Fall. So wie etwa eine einfachere, eher question-- wie viele von euch werden mit der elbe Passwort für mehrere Standorte? Oh ok. Jetzt sind wir als ehrlich. 

Gut. Also das ist eine gute Nachricht, nicht wahr? Denn wenn es bedeutet, wenn nur einer von denen, Websites, die Sie alle verwenden gefährdet ist, jetzt der Gegner hat Zugriff auf mehrere Daten über Sie oder mehreren potenziellen Exploits. Also das ist ganz leicht zu vermeiden. Aber wie viele von euch haben ein ziemlich erraten vergessen? Vielleicht nicht so schlimm wie das, aber was? Aus irgendeinem dummen Website, nicht wahr? Es ist nicht mit hohem Risiko, nicht über eine Kreditkarte? Wir alle. Wie, auch ich habe Kennwörter, sind wahrscheinlich nur 12345, sicherlich. So, jetzt versuchen, die Anmeldung in jede Website Sie denken mit malan@harvard.edu und 12345 und sehen, ob das funktioniert. 

Aber wir tun dies auch. Warum also? Warum haben so viele von uns haben entweder ziemlich einfache Passwörter oder die gleichen Passwörter? Was ist in der realen Welt Grund für diese? Es ist einfacher, nicht wahr? Wenn ich sagte, statt, akademisch, you guys sollten wirklich die Wahl sein, Pseudozufalls Kennwörter, sind mindestens 16 Zeichen lang sein und müssen eine Kombination aus Buchstaben des Alphabets, Zahlen und Symbole, Wer zum Teufel ist los in der Lage sein, das zu tun oder erinnere mich an jene Passwörter, geschweige denn für jede und jede mögliche Webseite? 

Also, was ist eine praktikable Lösung? Nun, eine der größten Imbissbuden heute Auch pragmatisch, würde werden, ehrlich gesagt, zu starten Anwendung irgendeiner Art von Passwort-Manager. Nun gibt es Vorteile als auch Nachteile dieser Dinge auch. Diese beiden sind, dass wir neigen dazu, in CS50 empfehlen. Eines der genannten Taste 1Password. Eines heißt Lastpass. Und einige von euch vielleicht diese bereits verwenden. Aber es ist in der Regel ein Stück Software, hat zu erleichtern Erzeugung großer Pseudozufalls Kennwörter, die Sie kann unmöglich als Mensch erinnern. Sie speichert diese Pseudozufalls Kennwörter in seiner eigenen Datenbank, hoffentlich auf Ihrer lokalen Fest drive-- verschlüsselt, noch besser. Und alles, was Sie, der Mensch, muss daran denken, in der Regel ist ein Master-Passwort, das wahrscheinlich wird sich super lange zu sein. Und vielleicht ist es nicht zufällige Zeichen. Vielleicht ist es ja, wie, einen Satz oder ein kurzen Absatz, dass Sie sich erinnern können und Sie einmal am Tag geben kann um Ihren Computer zu entsperren. 

So können Sie eine besonders große benutzen Kennwort zu schützen und zu verschlüsseln, alle Ihre anderen Passwörter. Aber jetzt in der du Gewohnheit, mit Software- wie dieses, um Pseudozufalls generieren Passwörter für alle Websites du besuchst. Und in der Tat, ich kann bequem sagen, jetzt, im Jahr 2015, Ich glaube nicht, die meisten wissen, meine Passwörter mehr. Ich weiß, mein Master-Passwort, und ich geben, dass unwissentlich ein oder mehrere Male am Tag. Aber der Vorteil ist, dass jetzt, wenn überhaupt meines einem Accounts kompromittiert wird, es gibt keine Möglichkeit jemand werde diesen Account verwenden in ein anderes, weil keiner zu bekommen meine Passwörter sind nicht mehr die gleichen. 

Und sicher, niemand, auch wenn er oder sie schreibt kontradiktorischen Software Gewalt Dinge Brute und schätze alle möglichen passwords-- die Chancen, dass sie zu gehen wähle meine 24-Zeichen lange Passwörter ist nur so, so niedrig, ich bin einfach nicht zu dieser Bedrohung besorgt mehr. 

Also, was ist der Trade-off hier? Das scheint wunderbar. Ich bin so viel sicherer. Was ist der Trade-off? Ja? 

ZIELGRUPPE: Zeit. DAVID MALAN: Zeit. Es ist viel einfacher, Geben Sie 12345, und ich bin angemeldet im Vergleich zu etwas, das 24 ist Zeichen oder einen kurzen Absatz. Was sonst? 

Publikum: Wenn jemand bricht Ihr Master-Passwort. DAVID MALAN: Ja. Sie sind also Art von Veränderung das Bedrohungsszenario. Wenn jemand errät oder Zahlen out oder liest die Post-it note in Ihrem sicheren Dateitresor, das Master-Passwort haben Sie, Jetzt alles, was gefährdet ist wobei es zuvor war vielleicht nur ein Konto. Was sonst? 

Publikum: Wenn Sie eine verwenden möchten Ihre Konten auf einem anderen Gerät und Sie nicht über Lastpass [unverständlich]. 

DAVID MALAN: Ja, das ist Art einer Rast, auch. Mit diesen Werkzeugen können auch, wenn Sie müssen nicht den Computer und du bist in, wie, einige Café oder du bist bei einem Freund zu Hause oder ein Computer-Labor oder wo immer Sie wollen, und in Facebook ausloggen, Sie müssen nicht einmal wissen, was Ihre Facebook-Passwort ist. Jetzt manchmal, Sie mindern können dies, indem er eine Lösung dass wir in nur einem Augenblick zu sprechen genannte Zwei-Faktor-Authentifizierung wobei Facebook werden Sie Text oder wird eine spezielle verschlüsselte Nachricht senden auf dein Handy oder einem anderen Gerät, das Sie mit sich herumtragen auf Ihrem Schlüsselbund mit die Sie sich anmelden können. Aber das ist vielleicht ärgerlich, wenn Sie im Untergeschoss des Science Center oder an anderer Stelle hier auf dem Campus New Haven. Möglicherweise haben Sie nicht Signal. Und damit ist nicht unbedingt Lösung. Also es ist wirklich ein Kompromiss. Aber was ich möchte Sie ermutigen do-- wenn Sie CS50-Website zu gehen, wir tatsächlich zum ersten angeordnet diese Unternehmen für eine Site-Lizenz, sozusagen für alle CS50 Studenten so dass Sie nicht zu zahlen haben, die $ 30 oder so ist es in der Regel kostet. Für Mac und Windows können Sie überprüfen 1Password kostenlos am CS50-Website, und wir schicken Ihnen hook up mit, dass. 

Verwirklichen Sie auch, dass einige diese tools-- einschließlich Lastpass in einer seiner forms-- ist Cloud-basierte, als Colbert sagt, die Ihre Passwörter bedeutet sind encryptedly in der Cloud gespeichert. Die Idee ist, dass Sie gehen können einige zufällige Person oder Computer Freundes und melden Sie sich bei Ihrem Facebook Konto oder dergleichen weil Sie zuerst zu gehen lastpass.com, zugreifen Ihr Passwort vergessen, und geben Sie es ein. Aber was ist die Bedrohungsszenario gibt es? Wenn Sie die Speicherung von Dingen in der Wolke, und du bist Zugriff auf diese Website auf einem unbekannten Computer, was könnte Ihr Freund tun Ihnen oder Ihre Tastatureingaben? OK. Ich werde manuelle fort gleitet hier an heraus. 

Keylogger, nicht wahr? Eine andere Art von Malware ist ein Keylogger, die ist nur ein Programm, das tatsächlich protokolliert alles, was Sie schreiben. Es gibt also auch, ist es wahrscheinlich besser, haben einige sekundäre Gerät wie dieses. 

Also, was ist die Zwei-Faktor-Authentifizierung? Wie der Name andeutet, ist es Sie nicht eine, sondern zwei Faktoren, mit denen um auf eine Website zu authentifizieren. Anstatt also den Einsatz nur ein Passwort, Sie haben einige andere zweite Faktor. Nun, die im Allgemeinen, ein, Faktor ist etwas, was Sie wissen. So etwas in der Art von Ihrem geistigen Auge, das ist Ihr Passwort, die Sie gespeichert haben. Aber zwei, nicht etwas anderes dass Sie wissen, oder haben gemerkt sondern etwas, das Sie physisch zu haben. Die Idee hier als Ihre Drohung nicht mehr könnten einige zufällige Person im Internet, die einfach können erraten oder heraus Ihr Passwort ein. Er oder sie hat physikalische haben Zugang zu etwas, das Sie haben, Das ist immer noch möglich, und immer noch, vielleicht, umso mehr physisch bedrohlich. Aber es ist zumindest ein andere Art von Bedrohung. Es ist nicht eine Million namenlosen Menschen da draußen versuchen, auf Ihre Daten zu bekommen. Jetzt ist es eine sehr spezifische Person, vielleicht, dass, wenn das ist ein Thema, das ist, Ein weiteres Problem, überhaupt, wie gut. 

So dass in der Regel vorhanden ist Telefone oder andere Geräte. Und in der Tat, Yale verdrehte this out Mitte Semester wie dass dies keinen Einfluss Leute in diesem Raum. Aber diejenigen von Ihnen folgende zusammen in New Haven wissen, dass, wenn Sie sich anmelden möchten in Ihr yale.net ID, zusätzlich zu der Eingabe Ihrer Benutzernamen und Ihr Passwort ein, Sie dann aufgefordert, mit diesem. Und beispielsweise ist dies ein Screenshot habe ich heute morgen wenn ich angemeldet in mein Yale Konto. Und schickt mir das Äquivalent einer SMS auf mein Handy. Aber in Wirklichkeit eine App heruntergeladen I im Voraus, dass Yale jetzt verteilt, und ich muss jetzt nur noch in der Art Code, die sie senden, um mein Handy. 

Aber klar zu sein, die Vorteil davon ist, dass jetzt, selbst wenn jemand herausfindet, meinem Yale vergessen, ich bin sicher. Das ist nicht genug. Das ist nur ein Schlüssel, aber ich müssen zwei auf mein Konto zu entsperren. Aber was ist die Kehrseite, vielleicht von Yales-System? Und wir lassen Yale kennen. Was ist der Nachteil? Was ist das? Wenn Sie keine Zelle Service oder wenn Sie nicht über WLAN-Zugang, weil Sie nur in einem Keller oder so, Sie vielleicht nicht in der Lage, um die Nachricht zu bekommen. Gott sei Dank, in diesem besonderen Fall, dies verwenden Wi-Fi oder etwas anderes, Welche Werke um ihn herum. Aber ein mögliches Szenario. Was sonst? Sie könnten Ihr Handy verlieren. Sie haben es nicht haben. Die Batterie leer ist. Ich meine, es gibt eine Reihe von lästigen Szenarien aber mögliche Szenarien, was passieren könnte , die Sie diese Entscheidung nicht bereuen. Und das Schlimmste, Ergebnis, ehrlich gesagt, dann wäre für Benutzer zu sein Deaktivieren Sie diese ganz. Es gibt also immer gehen diese Spannung ist. Und Sie müssen für sich selbst zu finden als Benutzer eine Art von Sweet-Spot. Und um dies zu tun, nehmen Sie ein paar konkrete Vorschläge. Wenn Sie Google Google Mail oder Google Apps verwenden, wissen, dass, wenn Sie hier, um diese URL zu gehen, Sie können Zwei-Faktor aktivieren Authentifizierung. Google nennt es 2-Stufen-Verifikation. Und Sie Setup klicken und dann haben Sie genau das tun. Das ist eine gute Sache zu tun, vor allem in diesen Tagen, da dank Cookies, Sie in fast den ganzen Tag lang angemeldet sind. So dass Sie nur selten zu Geben Sie Ihr Kennwort sowieso. So dass Sie könnte es einmal zu tun Woche, einmal pro Monat, einmal pro Tag, und es ist weniger eine große umgehen als in der Vergangenheit. 

Face Auch hat dieses. Wenn Sie ein wenig zu locker mit Typisierung Ihre Facebook-Passwort in Freunde Computer, mindestens zwei Faktorfreigabe Authentifizierung, so dass dieser Freund, selbst wenn er oder sie hat ein Keylogger, sie können nicht auf Ihr Konto zu bekommen. Nun, warum ist das so? Konnte sie nicht einfach melden Sie sich die Code Ich habe in auf meinem Handy getippt dass Facebook hat sich an mich? ZIELGRUPPE: [unverständlich]. DAVID MALAN: Ja. Die gut durchdachte Software werden diese Codes ändern , die auf Ihrem Telefon gesendet werden alle paar Sekunden oder jedes Mal, und so, dass, ja, sogar wenn er oder sie findet heraus, was Ihr Code ist, du bist immer noch sicher, weil es abgelaufen sein. Und das ist, wie es aussieht Lust auf Facebook-Website. 

Aber es gibt einen anderen Ansatz insgesamt. Also, wenn diese Art von Trade-offs sind nicht besonders verführerisch, ein allgemeiner Grundsatz in Sicherheit wäre zu sein, gut, nur mindestens Prüfungs Dinge. Nicht Art setzen Sie Ihren Kopf in die Sand und kann nie wissen, ob und wann Sie beeinträchtigt habe oder angegriffen. Zumindest bis einen Mechanismus eingestellt dass Sie informiert sofort wenn etwas anomale geschehen so dass Sie zumindest engen das Zeitfenster, in was jemand kann Schaden anrichten. 

Und damit meine ich die following-- bei Book, zum Beispiel, Sie können sich drehen, was sie Login-Benachrichtigung nennen. Und gerade jetzt, ich habe per E-Mail aktiviert anmelden Warnungen aber nicht Benachrichtigungen. Und was das bedeutet ist, dass, wenn Facebook Hinweise Ich habe in eine neue computer-- angemeldet wie ich nicht über ein Cookie, Es ist eine andere IP-Adresse, es ist eine andere Art von computer-- sie werden in diesem Szenario senden mir eine E-Mail zu sagen, hey, David. Sieht aus wie Sie eingeloggt ab ein unbekannten Computer, nur FYI. 

Und nun mein Konto könnte sein, beeinträchtigt, oder meine lästigen Freund hätte die Anmeldung in haben Mein Konto Jetzt veröffentlichen Dinge auf meiner News-Feed oder dergleichen. Zumindest aber die Zeitspanne mit dem ich unwissend, dass ist super, super eng. Und ich kann hoffentlich reagieren. So alle drei von ihnen, würde ich sagen wir, sind sehr gut, Dinge zu tun. Was sind einige Bedrohungen dass ein wenig härter sind für uns Anwender zum Schutz gegen zu beenden? Weiß jemand, was Session-Hijacking ist? Es ist eine eher technische Bedrohung, doch sehr vertraut Nun, da wir getan PSET sechs und sieben und jetzt acht. So erinnern, dass, wenn Sie Datenverkehr senden über das Internet, ein paar Dinge passieren. Lassen Sie mich gehen Sie vor und loggen Sie sich in c9 oder CS50.io. Geben Sie mir nur einen Moment, um log in meine jHarvard Konto. 

Publikum: Was ist Ihr Passwort ein. 

DAVID MALAN: 12345. Gut. Und hier, wissen, dass, wenn ich vor und fordern Sie eine Web-page-- und in der Zwischenzeit, lassen Sie mich dies zu tun. Lassen Sie mich zu öffnen Chrome Inspector Registerkarte und mein Netzwerkverkehr. Und lassen Sie mich zu gehen http://facebook.com und deaktivieren Sie diese. Eigentlich weißt du was? Lassen Sie uns auf ein vertrauter gehen one-- https://finance.cs50.net und drücken Sie die Eingabetaste und melden der Netzwerkverkehr hier. 

So bemerken Sie hier, wenn ich mir in meiner Netzwerkverkehr, Antwort headers-- gehen wir hier oben. Antwort headers-- hier. So die erste Anforderung, die ich gesendet, die für die Standard-Seite war, Es reagiert mit Diese Antwort-Header. Und wir gesprochen haben Dinge wie Lage. Wie, Lage bedeutet, Umleitung zu login.php. Aber eine Sache, die wir nicht sprechen eine riesige Höhe über war Zeilen wie diese. Das ist also im Inneren des virtuellen Umschlag, der ist von CS50 Finance-- geschickt die Version euch geschrieben, too-- Laptop eines Benutzers oder Desktop-Computer. Und das Setzen eines Cookies. Aber was ist ein Cookie? Denken Sie zurück an unsere Diskussion von PHP. Ja? Ja, es ist eine Möglichkeit zu sagen, die Website, die Sie noch in sind angemeldet. Aber wie funktioniert das? Nun, beim Besuch finance.cs50.net, es sieht aus wie diesem Server dass wir implementiert ist Setzen eines Cookies. Und das Cookie ist konventionell rufen PHPSESSID Session-ID. Und Sie es wie ein zu denken virtuelle Handstempel in einem Club oder, wie, ein Vergnügungspark, ein kleines Stück roter Tinte, die auf der Hand geht so dass die bei Ihrem nächsten Besuch der Tor, man einfach zeigen Sie Ihre Hand, und der Türsteher vor der Tür werden Sie lassen übergeben oder gar nicht auf diesem Stempel basiert. 

So der anschließenden fordert, dass mein Browser sends--, wenn ich auf die nächste Anfrage und man sich die Request-Header, Sie werden mehr Sachen bemerken. Aber die wichtigste ist das hervorgehobene Teil hier-- nicht aber Cookie Cookie gesetzt. Und wenn ich über jeden Flip dieser nachfolgende HTTP-Anfragen, jedes Mal, wenn ich eine Hand zu sehen mit genau der gleichen verlängert PHPSESSID, was zu sagen ist, dies ist die mechanism-- dieses große Pseudozufalls number--, dass ein Server verwendet, um die Illusion aufrecht zu erhalten von PHP $ _SESSION Ziel, in die Sie können Dinge wie der Benutzer-ID speichern oder was in ihren Einkaufswagen oder eine beliebige Anzahl anderer Datenteile. 

Also, was ist die Schlussfolgerung? Nun, was ist, wenn die Daten werden nicht verschlüsselt? Und in der Tat haben wir die besten Praxis verschlüsseln ziemlich jeder von Websites CS50 ist in diesen Tagen. Aber es ist sehr häufig in diesen Tage für Websites noch nicht auf HTTPS zu haben der Beginn der URL. Sie sind nur HTTP, Dickdarm, Slash Slash. Also, was ist die Implikation, da? Das bedeutet einfach, dass alle diese Überschriften befinden sich innerhalb dieser virtuellen Umschlag. Und wer schnüffelt die Luft oder physikalisch Abschnitte, die physisch Paket können innen zu schauen und sehen, was das Cookie ist. 

Und so Session Hijacking ist einfach eine Technik , dass ein Gegner verwendet, um Daten zu schnüffeln in der Luft oder auf einem drahtgebundenen Netzwerk, Blick ins Innere dieser Umschlag, und sehen, oh. Ich sehe, dass Ihre Cookie- ist, was 2kleu. Lassen Sie mich gehen Sie vor und machen eine Kopie Ihres Handstempel und jetzt zu starten Besuch Facebook oder Google Mail oder was auch immer mich und nur präsentieren die exakt gleichen Handstempel. Und die Realität ist, Browser und Server sind wirklich so naiv. Wenn der Server das gleiche sieht, Cookie, dessen Zweck im Leben sollte es sein, zu sagen, oh, das muss David zu sein, die gerade in ein wenig vor loggt. Lassen Sie mich diese denselben Benutzer zu zeigen, vermutlich, Davids Posteingang oder Facebook Nachrichten oder etwas anderes in die Ihr eingeloggt. 

Und die einzige Verteidigung gegen das heißt, nur verschlüsseln alles innerhalb des Umschlags. Und zum Glück, eine Menge von Websites gefallen Facebook und Google und dergleichen tun, dass heute. Aber alle, die nicht zu verlassen Sie perfekt, perfekt verwundbar. Und eines der Dinge, die Sie do-- können und einer der netten Features, ehrlich gesagt, von 1Password, die Software Ich bereits erwähnt, ist, wenn Sie es auf Ihrer Installation Mac oder PC, die Software, Neben Speicherung Ihrer Passwörter, wird auch Sie warnen, wenn Sie überhaupt versuchen, Anmeldung bei einer Website, die ist gehen, um Ihren Benutzernamen zu senden und Passwort unverschlüsselt und in der klaren, so zu sprechen. Gut. So Session Hijacking läuft darauf hinaus, dass. Aber es gibt diese andere , dass HTTP-Header kann verwendet werden, um die Vorteile von uns nehmen werden. Und das ist immer noch irgendwie ein Problem. Das ist wirklich nur eine entzückende entschuldigen Sie sich hier ein, um setzen Cookie Monster. Aber Verizon und AT & T und andere nahmen viel Kritik ein paar Monate zurück zum Einspritzen, Benutzer unbemerkt zunächst, eine zusätzliche HTTP-Header. 

Also diejenigen, die gehabt haben Verizon Wireless und AT & T-Zell- Telefone und du hast Besuch Websites, die über das Telefon, ohne Wissen Sie, nach Ihrem HTTP Anfragen zu verlassen Chrome oder Safari oder was auch immer auf Ihrem Telefon zu gehen Verizon oder AT & T-Router, sie vermessen für einige Zeit gewesen Einspritzen einer Kopfzeile, die aussieht wie this-- einen Schlüssel-Wert-Paar in dem der Schlüssel ist nur X-UIDH für die eindeutige Kennung Header und dann einige große Zufallswert. Und sie tun dies so dass sie eindeutig zu identifizieren, alle Ihre Web-Traffic auf Menschen über Ihre HTTP-Anforderung. 

Nun, warum würde Verizon und AT & T und dergleichen möchte eindeutig identifizieren alle Webseiten die Sie besuchen? 

ZIELGRUPPE: Besserer Kundenservice. 

DAVID MALAN: Better-- nicht. Es ist ein guter Gedanke, aber es ist nicht für einen besseren Kundenservice. Was sonst? Werbung, nicht wahr? So dass sie aufbauen kann eine Werbenetzwerk, vermutlich, wobei, auch wenn Sie haben sich die Cookies eingeschaltet, auch wenn Sie spezielle Software auf Ihrem Handy dass hält in incognito mode-- ha. Es gibt keine Inkognito-Modus, wenn die Mann im wahrsten Sinne des Wortes middle--, Verizon oder AT & T-- wird Injizieren zusätzliche Daten über die Sie haben keine Kontrolle, was enthüllt , die Sie weiter zur resultierenden Website wieder und wieder. 

So gibt es Möglichkeiten, aus dieser zu entscheiden. Aber auch hier ist etwas, dass ehrlich gesagt, der einzige Weg, zurück zu drängen auf diese zu verlassen, der Träger insgesamt, deaktivieren Sie es wenn sie erlauben Ihnen sogar, oder, wie in diesem Fall passiert, machen ziemlich viel Aufhebens wie Online- dass die Unternehmen tatsächlich zu reagieren. Auch dies ist nur ein weiterer adorable Gelegenheit, dies zu zeigen. 

Und lassen Sie uns einen Blick auf, lassen Sie uns sagen, ein oder zwei abschließende Bedrohungen. So etwa CS50 Finanzen sprachen wir hier. So werden Sie feststellen, dass wir dieses niedliche kleines Symbol auf dem Login-Button hier. Was bedeutet es, wenn ich meine, verwenden Sie stattdessen dieses Symbol? So vor, nach. Vorher Nachher. Was bedeutet, nachdem das? Es ist sicher. Das ist, was ich möchte, dass Sie denken. Aber ironischerweise, sicher ist es weil wir zu tun haben HTTPS. 

Aber das ist, wie einfach es ist, zu ändern etwas, auf einer Website, nicht wahr? Sie alle wissen, ein wenig HTML und CSS jetzt. Und in der Tat, es ist ziemlich einfach zu-- und wenn Sie nicht getan es--, um das Symbol zu ändern. Aber dies ist auch das, was Unternehmen haben uns gelehrt, zu tun. Also hier ist ein Screenshot von der Bank der amerikanischen Website heute Morgen. Und beachten Sie, ein, sie sind beruhigend mich ist es ein sicheres Zeichen im oben links. Und sie haben auch eine Vorhängeschloss-Symbol auf die Schaltfläche, was bedeutet, was mit mir, dem Endbenutzer? 

Wirklich nichts, oder? Was zählt ist die Tatsache, , dass es die großen grünen URL bis oben mit HTTPS. Aber wenn wir uns Zoom auf diese, ist nur wie ich, zu wissen, ein wenig HTML und ein bisschen CSS und sprach: hey, das ist meine Website sicher. Wie kann jemand ein Vorhängeschloss setzen und die Wort sichere Sign-On auf ihrer Website. Und es ist wirklich bedeutet nichts. Was bedeutet etwas bedeuten ist so etwas wie dieses, wo Sie sehen, https: // der Tatsache, dass Bank of America Corporation hat dieses großen grünen bar, während CS50 nicht, einfach bedeutet, dass sie mehrere hundert bezahlt Dollar mehr zusätzlich zu haben Überprüfung getan ihrer Domäne in den USA, so dass Browser, die haften dieser Norm wird auch zeigen uns ein wenig mehr als das. 

Also werden wir die Dinge dabei zu belassen, erschrecken Sie ein wenig mehr in Kürze. Aber am Mittwoch, wir werden durch Scaz verbunden werden Yale für einen Blick auf künstliche Intelligenz und was wir mit diesen Maschinen zu tun. Wir werden Sie sehen, das nächste Mal.