[Música tocando] DAVID Malan: Este é CS50, e este é o inicio da semana 10. E pode lembrar esta imaxe dalgunhas semanas cando falamos de Internet e como en realidade é aplicado fisicamente. E ten que lembrar que non hai en realidade, unha morea de cables así como sen fíos tecnoloxías que interconectam todo nós ou routers e outros tales tecnoloxías en internet. E unha morea de que é underseas. Ben, resulta que os cables Underseas son un pouco de un obxectivo. E charla de hoxe é enteiramente coa seguridade, non só as ameazas que todos nos enfrontamos fisicamente, senón tamén virtualmente, e tamén, para o extremo de cola Hoxe en día, algunhas das defensas que nós, como os usuarios poden realmente poñer no lugar. Pero, en primeiro lugar, un dos primeiro e threat-- quizais máis físico [REPRODUCIÓN DE VIDEO] -Pode Ser Rusia planificación un ataque a cables submarinos que se conectan a Internet global? Buques e submarinos -Russo á espreita preto de cables submarinos que cargar case todo de internet do mundo. -A Internet é toda transportados ao longo destes cables. -Primeiro De todo, o que é o Internet facendo debaixo da auga? Última vez que verifiquei, eu non son supostamente para obter o meu ordenador mollado. En segundo lugar, se me preguntar como a internet viaxa de continente a continente, Eu diría satélites ou láseres, ou, sinceramente, Eu probablemente tería só dixo que a internet. E o que pasou coa nube? Se me dixo que había unha nube. Teña en conta que? Ei, imos poñer isto na nube. Era coma se a internet era un vapor de información que circunda a Terra, eo seu ordenador era como unha cuncha que escavou para fóra o que necesitas. Pero resulta que a internet é realmente subaquática porque estes cables transportar máis de 95% das comunicacións diarias de internet. E preocupacións de intelixencia de Estados Unidos que en momentos de tensión ou conflito, Rusia pode recorrer a cortar a eles. Sería a maior perturbación ao seu servizo de internet sempre que o seu veciño de arriba poñer un contrasinal no seu WiFi. OK? Proba o nome do seu can. [FIN DE REPRODUCIÓN] DAVID Malan: Antes de nos volvemos agora algunhas das ameazas máis virtuais, un par de anuncios. Así, os nosos amigos unha Actualmente CrimsonEMS contratación de novos paramédicos, Técnicos de emerxencia médica. E iso é realmente algo particularmente preto do meu corazón. Hai moito tempo atrás, eu Teña en conta que estar nun Ikea logo da formatura, en realidade. E como eu estaba saíndo da tenda, este neno que estaba nun cesta de neno comezou a virar literalmente azul. E estaba engasgada con algún anaco de alimentos que tivo presuntamente ficar preso na gorxa. E a súa nai estaba en pánico. Os pais en torno a eles estaban en pánico. E aínda que eu, que tiña un pouco de familiaridade con EMS só a través de amigos, completamente conxelar. E foi só grazas a algo como un salvavidas de 15 anos de idade, que correu e realmente sabía o que fan instintivamente e pediu axuda e realmente tirou o neno fóra do seu cesta de neno e, de feito, abordou a situación. E para min, iso foi un punto de viraxe. E foi nese momento en tempo en que eu decidimos, caramba, Eu preciso ter meu acto xuntos e realmente sabe como responder a estes tipo de situacións. E entón eu me fun licenciado anos, como un EMT. E a través da escola de posgrao eu montar en ambulancia do MIT durante un período de tempo, así como mantiveron desde a miña licenza. E, de feito, ata hoxe, todos do persoal CS50 aquí en Cambridge son, en realidade, certificado en CPR, así, por razóns semellantes. Entón, se está en todos os interesado neste, hai Non vai ser tempo suficiente en o día de asumir algo novo. Pero se quere un ano resolución, non unirse estes faces aquí ou considerar alcanzando o Cruz Vermella para a certificación, sexa aquí ou en New Haven, tamén. Así último xantar do CS50 é hoxe. Entón, se aínda non se sumou a nós, ou se tes e queres unha vez máis, non ir na web da CS50 para enche o formulario alí. Saber, tamén, que os nosos amigos en Yale, Profesor Scassellati, está a producir unha AI, artificial intelixencia, serie para nós que comezará a estrear esta semana en vídeo. Entón, especialmente se está interesado na consecución dun proxecto final dalgún xeito relacionado coa intelixencia artificial, procesamento de linguaxe natural, mesmo robótica, entendemos que estes vontade ser unha inspiración marabillosa para iso. E só para darlle un teaser a iso, aquí é o propio SCAZ. [REPRODUCIÓN DE VIDEO] -Un Do realmente grande cousas sobre ciencia da computación é que, mesmo con única unhas semanas de estudo, vai ser capaz de entender moitos dos artefactos intelixentes e dispositivos que poboan noso mundo moderno. Neste curto vídeo serie, imos ollar en cousas como Netflix é capaz suxerir e recomenda películas que me gustaría, como é que Siri pode responder a preguntas que eu teño, como é que Facebook pode recoñecer meu rostro e identifique automaticamente me nunha fotografía, ou como Google é capaz de construír un coche que conduce por si mesma. Entón, eu espero que se xunto a min para esta curta serie de vídeos, a serie CS50 AI. Eu creo que vai considerar que sabe moito máis do que penso que fixo. [FIN DE REPRODUCIÓN] DAVID Malan: Entón, estas aparece na o sitio web do curso ao final desta semana. Sexa en conta. E mentres tanto, algúns anuncios, así como o que vén por diante. Polo que estamos aquí. Isto é, na nosa charla sobre seguridade. Esta mañá mércores, SCAZ e Andy, nosa cabeza ensino compañeiro en New Haven, estará aquí para ollar intelixencia artificial para un ollo computación para communication-- como construír sistemas que usan linguaxe para comunicarse desde ELIZA, se está familiarizado con este software de outros tempos, a Siri máis recentemente e Watson, que pode saber a partir de Jeopardy ou similares. Entón vindeiro luns, somos non aquí en Cambridge. Estamos en New Haven por un segundo ollar para a intelixencia artificial con SCAZ e company-- AI adversarios nos xogos. Entón, se xa xogou contra o ordenador nalgún videoxogo ou xogo para móbil ou similar, nós imos falar exactamente como isso-- para construír adversarios para xogos, como representar cousas debaixo das árbores capa empregando de xogos como tic-tac-toe ao xadrez ao moderno real videoxogos, así. Desafortunadamente, quiz é un pouco despois. Máis detalles sobre isto no CS50 de sitio aínda esta semana. E a nosa última charla en Yale vai ser que venres despois do quiz. E a nosa última charla en Harvard será, posteriormente, o Luns, pola natureza de axenda. E así, en termos de marcadores, ademais pset oito esta semana; informe de estado, que será un verificación de sanidade rápida entre vostede eo seu compañeiro de ensino; o hackathon, que estará aquí en Cambridge para estudantes desde New Haven e Cambridge iguais. Nós coidamos de todo transporte desde New Haven. A posta en marcha do proxecto final será debido. E, a continuación, a ambos os campus haberá unha feira CS50 que nos permite tomar un ollo e pracer en que todo o mundo ten conseguido. En realidade, eu penso que este sería un bo momento para chamar a atención sobre este dispositivo aquí, que temos usado para unha certa cantidade de tempo aquí, que é unha pantalla táctil agradable. E, de feito, pasado ano tivemos un app $ 0,99 que fixemos a descarga da aplicación de Windows almacenar, a fin de deseñar na pantalla. Pero, a verdade, era moi confuso. Isto permitiunos deseñar no pantalla, pero había, como, unha morea de iconas aquí enriba. A interface de usuario foi moi malo. Se quería cambiar determinadas configuracións, había só tantos click malditos. E o usuario interface-- ou, máis propiamente, o experiência-- usuario foi por debaixo do ideal, especialmente usando o en un ambiente de aula. E así chegamos a fóra a un amigo noso en Microsoft, Bjorn, que é, en realidade, está a seguir, xunto con CS50 liña. E, como o seu proxecto final, esencialmente, fixo e moito graciosamente tomar algunha entrada de nós como a exactamente as características e experiencia do usuario nós queremos. E entón foi sobre a construción de para Windows deste programa aquí que nos permite draw-- oops-- e deletrear en as-- wow. Grazas. Para deseñar e deletrear nesta pantalla aquí con interface de usuario moi mínima. Entón me viu, quizais, toque a aquí sempre así lixeiramente, onde agora nós pode subliñar as cousas en vermello. Podemos cambiar e agora ir ao texto branco aquí. Se queremos realmente eliminar a pantalla, podemos facelo. E se realmente prefiren un canvas brancos, podemos facelo. Entón fai tan terriblemente pouco por deseño e fai ben. Así que eu futz, esperanza, moito menos este ano en clase. E, grazas, tamén, a un protexido da súa Eu estou usando hoxe un pequeno anel. Esta é Benjamin, que era internándose con Björn este verán. Polo tanto, é un pequeno anel. É un pouco máis grande que o meu anel de costume. Pero a través de un pouco de reserva o lado aquí podo realmente mover os diapositivas para a dereita e esquerda, cara adiante e cara atrás, e realmente avanzar as cousas sen fíos de xeito que, un, eu non teño para manter-se ir de volta para a barra de espazo aquí. E dous, eu non teño que ter un deses estúpidos clickers e preocupan a miña man, suxeitando a maldita cousa o tempo a fin de simplemente facer clic. E, por suposto, co tempo, será o hardware así obter super, super menor. Entón, por suposto, non dubide para pensar fóra da caixa e facer as cousas e crear cousas que nin sequera existen aínda para proxectos finais. Sen máis delongas, un ollar para o que o espera como mergullo no seu último proxectos no hackathon CS50 [REPRODUCIÓN DE VIDEO] [Música tocando] [Ressonar] [FIN DE REPRODUCIÓN] DAVID Malan: Todo ben. Entón, o clip de Stephen Colbert que mostrou só un momento atrás foi realmente na TV só uns días. E, de feito, un par de outros clips imos amosar hoxe son incriblemente recente. E, de feito, que fala coa realidade que moito da tecnoloxía e, a verdade, unha morea de ideas temos falado sobre a CS50 realmente son omnipresentes. E un dos obxectivos da o curso é certamente equipa-lo con habilidades técnicas así que realmente pode resolver problemas programaticamente, pero dous, de xeito que realmente pode tomar mellores decisións e tomar decisións máis informadas. E, de feito, toda a temática prensa e videos e artigos en liña a día de hoxe é só unha terrorífica malentendido ou falta de comprensión de como a tecnoloxía funciona, especialmente entre os políticos. E así, de feito, en só un pouco imos dar un ollo a un deses detalles, ben. Pero literalmente só durar noite eu estaba sentado en Bertucci, un local, Franchise lugar italiano. E eu Pulei no seu WiFi. E eu estaba moi tranquilizado para ver que é seguro. E eu sabía que porque di aquí "Secure Portal Internet" cando a pantalla veu á tona. Polo tanto, este foi o pequeno aviso que xorde en Mac OS ou en Windows cando conectar a unha rede Wi-Fi por primeira vez. E eu tiven que ler a través dos seus termos e condicións e finalmente prema en Aceptar. E entón eu estaba autorizado a continuar. Entón, imos comezar a repensar o que todos isto significa e non tomar por concedido o que a xente di-nos cando atopalo con varias tecnoloxías. Entón, un, o que significa que este é un portal de internet segura? O que podería Bertucci tranquilizando notificación de ser? Audiencia: Os paquetes enviados e cara atrás son criptografía. DAVID Malan: Good. Os paquetes que están sendo enviados de volta e cara atrás son criptografía. É que de feito o caso? Se fose o caso, o que eu faría ten que facer ou o que eu teño que saber? Ben, vería un pouco icona de cadeado en Mac OS ou en Windows dicindo que hai de feito un cifrado ou loitando suceder. Pero antes de que pode utilizar un cifrado portal ou Wi-Fi, o que ten que xeralmente escribir? Un contrasinal. Sei que hai esa contrasinal, nin eu escriba calquera contrasinal. Eu simplemente premer en Aceptar. Polo tanto, este é totalmente sen sentido. Este non é un portal de internet segura. Este é un portal de internet insegura 100%. Non hai absolutamente ningunha cifrado vai , E todo o que está facendo-o seguro é que a frase de tres palabras na pantalla alí. Entón, iso non significa nada, necesariamente, tecnoloxicamente. E un pouco máis preocupante, se realmente ler os termos e condicións, que son sorprendentemente lexible, foi isto-- "vostede entender que nos reservamos o dereito de rexistrar ou supervisar o tráfico para garantir que estes termos están sendo seguidos. " Entón, iso é un pouco asustado, se Bertucci é ver o meu tráfico de Internet. Pero a maior parte de calquera acordo que vostede cegamente premendo través ten certamente dixo que antes. Entón, o que fai que, en realidade, significa tecnoloxicamente? Polo tanto, se hai algún asustado cara ou muller na parte de atrás que é, tipo, o seguimento todo o tráfico de Internet, como é que el ou ela acceder que a información exactamente? Cales son as tecnolóxica significa que a través que person-- ou Adversario, máis generally-- pode estar a ollar para o noso tráfico? Ben, se non hai ningunha criptografía, o que tipo de cousas que poderían cheirar, por así dicir, unha especie de detectar no aire. Que ollar? Si? Audiencia: Os paquetes enviados do seu ordenador para o router? DAVID Malan: Yeah. Os paquetes enviados desde o ordenador ao router. Entón pode lembrar cando estabamos en New Haven, nós pasamos eses sobres, fisicamente, todo o público para representar indo datos a través de Internet. E, por suposto, se estivésemos xogando Los través do público sen fíos para chegar ao seu destino, calquera pode tipo de agarralo lo e facer unha copia do mesmo e realmente o que está dentro dese sobre. E, por suposto, o que é dentro destes sobres é calquera número de cousas, incluíndo o enderezo IP que estás acceso ou o nome do servidor, como www.harvard.edu ou yale.edu que estás para acceder ou algo completamente diferente. Ademais, o camiño, xa sabe de demasiado-- pset seis que dentro solicitudes HTTP son obter barra something.html. Entón, se está a visitar unha páxina específica, descargar unha imaxe ou vídeo específico, toda esta información que está dentro do paquete. E así ninguén alí en lata de Bertucci estar mirando para ese mesmo datos. Ben, o que son algúns outros ameazas ao longo destas liñas estar atento antes de pode comezar a aceptar como verdade o que alguén como Bertucci simplemente dille? Ben, este foi un article-- unha serie de artigos que saíu só uns meses. Toda a rabia estes días son esas televisores intelixentes ultramoderna. ¿Que é unha TV intelixente, se ten escoitou falar deles ou ter un na casa? Audiencia: conexión a Internet? DAVID Malan: Si, conexión a Internet. Así, en xeral, unha TV intelixente é un TV con conexión a internet e un usuario realmente cágado interface que fai máis difícil de realmente usar a web porque ten que usar, como, ata, abaixo, esquerda e dereita ou algo no seu mando a distancia só para acceder as cousas que son tanto máis facilmente feito nun portátil. Pero o máis preocupante en relación a unha TV intelixente, e televisores Samsung, neste caso particular, foi que Samsung TVs e outros a día de hoxe veñen con determinado hardware para crear o que din é unha mellor interface de usuario para ti. Entón un, podes falar con algunhas das súas televisións nos días de hoxe, non ao contrario de Siri ou calquera dos outros equivalentes en teléfonos móbiles. Entón pode dicir comandos, como canle de cambio, aumentar o volume, desactivar ou algo semellante. Pero cal é a implicación de que loxicamente? Se ten a TV na súa vida cuarto ou a TV no pé da súa cama para adormecer, cal é a implicación? Si? Audiencia: Pode haber algo indo a través do mecanismo para detectar o seu discurso. DAVID Malan: Yeah. Audiencia: Isto podería enviarse vía internet. Se é criptografía, entón é vulnerable. DAVID Malan: De feito. Se ten un micrófono embutido nun televisor eo seu propósito na vida é, polo proxecto, para escoitar para ti e responder a vostede, é sen dúbida será escoitando todo o que di e, a continuación, que a tradución algunhas instrucións incorporados. Pero o problema é que a maioría destes Televisións non son perfectamente intelixente si. Son moi dependentes esa conexión internet. Tan parecido con Siri, cando fala no seu teléfono, rapidamente envía os datos entre internet para servidores de Apple, a continuación, recibe de volta unha resposta, literalmente é Samsung TV e equivalentes só enviar todo o que está dicindo na súa sala de estar ou cuarto para os seus servidores só para detectar que dixo, conectar a TV apagar a televisión? E Deus sabe o que máis podería ser pronunciada. Agora, hai algunhas formas para mitigar isto, certo? Como o que fai eo que Siri fai Google e outros fan para, polo menos, defenderse contra que o risco de que son escoitar absolutamente todo? Ten que ser activada dicindo algo como, hey, Siri, ou ola Google ou similares ou Aceptar, Google ou algo semellante. Pero todos sabemos que os expresións tipo de mamar, non? Como eu era só sitting-- de feito, a última vez Eu estaba en horario de oficina en Yale, eu creo, Jason ou un dos TFS quedaba gritando, como, hey, Siri, hey, Siri e estaba facendo o meu teléfono facer as cousas porque estaba moi proximal ao meu teléfono móbil. Pero o inverso é certo tamén. Ás veces as cousas só chutar sobre por que é imperfecto. E, de feito, natural processing-- lingua comprender fraseado dun ser humano e a continuación, facer algo baseado ele-- é certamente imperfecta. Agora, peor aínda, algúns de vostedes poden ver ou ter unha TV onde podes facer cousas estúpidas ou new actúa como este para cambiar de canle ou á esquerda este para cambiar de canle para a dereita ou baixar o volume ou aumentar o volume. Pero o que iso significa que a televisión ten? A cámara apuntada para ti en todo momento posibles. E, de feito, o bafafá arredor Samsung TVs para que levaron algúns Flack é que se ler os termos e condicións do TV-- a cousa certamente nunca leu cando descomprimir súa TV por primeira tempo-- embutido alí estaba un pouco disclaimer dicindo o equivalente a, un que pode non querer ter persoal conversas fronte deste TV. E iso é o que reduce a. Pero non debe mesmo cómpre dicir iso. Ten que ser capaz de inferir a partir da realidade que micrófono e cámara literalmente apuntando para min todo o tempo quizais sexa máis mal que ben. E, francamente, eu digo isto un pouco hipócrita. Teño literalmente, ademais daquelas cámaras, Eu teño un pequeno cámara aquí no meu portátil. Teño outro aquí. Eu teño a miña en Teléfono No cada lado. Entón, para que eu non poñer-lo para abaixo o camiño mal, eles aínda me pode ver e oír. E todo isto podería ser pasando o tempo. Entón, o que está impedindo o meu iPhone ou Android teléfono de facelo todo o tempo? Como sabemos que Apple e algunha persoa asustado de Google, non están escoitando a esta conversa moi a través do teléfono ou conversas Teño na casa ou no traballo? Audiencia: Por nosas vidas non son tan interesante. DAVID Malan: Porque o noso vidas non son tan interesante. Isto, en realidade, é unha resposta válida. Se non estamos preocupados sobre unha ameaza particular, hai unha especie de quen coida aspecto a el. Pouco me antigo non vai para realmente ser un obxectivo. Pero certamente podería. E por iso mesmo que vexa algúns cousas bregas en televisores e películas, como, oh, imos activar a grella correo como Batman fai moito iso, en realidade, e, de feito, pode ver Gotham, o que é pasando a través de teléfonos móbiles da xente ou semellantes. Algúns de que é un pouco futurista, pero estamos moi bonito alí estes días. Case todos somos camiñando por aí con GPS transponders que é dicindo Apple e Google e toda a xente que quere saber onde estamos no mundo. Temos un micrófono. Temos unha cámara. Estamos dicindo cousas como snapchat e outras aplicacións que todos sabemos, todos os seus números de teléfono, todos os seus enderezos de correo electrónico. E entón, de novo, un dos takeaways hoxe, esperanza, é, polo menos, pausa un pouco antes cegamente dicir, OK cando quere o conveniencia de snapchat sabendo que todos os seus amigos é. Pero por outra banda, agora snapchat coñece todos que coñece e calquera pequenas notas que pode fixo nos seus contactos. Polo tanto, este foi un momento oportuno, tamén. Hai uns meses, snapchat en si non foi comprometida. Pero houbo algunha aplicacións de terceiros que fixo máis doado para salvar E se encaixe a captura foi que este servizo de terceiros foi comprometida si, en parte porque o servizo de snapchat soportado un recurso que probablemente non debe ter, o que permitiu este arquivo por un terceiro. E o problema é que un arquivo de, como, 90.000 snaps, penso eu, foron finalmente comprometida. E así pode levar moito confort en cousas como snapchat sendo efémera, non? Ten sete segundos para ollar esta mensaxe inadecuada ou nota, e, a continuación, el desaparece. Pero, a maioría de vostedes Probablemente xa descubrín como sacar capturas de pantalla de momento, o que é o xeito máis doado de evitar isto. Pero dous, non hai nada que impida a empresa ou a persoa está en internet que interceptem datos, potencialmente, como ben. Polo tanto, este foi literalmente só un ou dous días. Este foi un fermoso artigo sobre un Headline web en liña. "Worm épico Fail-- Poder Ransomware destrúe accidentalmente Datos da vítima durante o cifrado ". Así, outra arrancada do titulares tipo de cousas aquí. Entón vostede pode ter escoitou falar de malware, que é tan malo software malicioso software-- que a xente con moito tempo libre escribir. E, ás veces, só fai cousas estúpidas como borrar arquivos ou enviar spam ou similares. Pero, ás veces, e cada vez máis, é máis sofisticado, non? Vós todos saben como xogar con cifrado. E César e Vigenère non son super segura, pero hai outros que, certamente, que son máis sofisticados. E entón o que ese rival fixo foi escribiu unha peza de malware que dalgún xeito infectou un banda de ordenadores das persoas. Pero era unha especie de un idiota e escribiu unha versión de buggy deste malware tal que, cando el ou ela aplicou o code-- Oh, nós somos recibindo unha morea de-- desculpe. Estamos recibindo unha gran cantidade de ten un micrófono. Aceptar. Entón, o que o problema era que el ou ela escribiu un código malo. E así eles xerados pseudorandomly unha clave de cifrado coa que debe cifrar datos de alguén maliciosamente, e, a continuación, tirou accidentalmente fóra a clave de cifrado. Así, o efecto desta malware non foi como se esperaba, aos datos de rescate de alguén por cifrar o seu disco duro e, a continuación, esperando US $ 800 a cambio para a clave de cifrado, que no punto a vítima podería descifrar os seus datos. Pola contra, a cara mal simplemente cifrado dos datos no seu disco duro, accidentalmente excluída a clave de cifrado, e non ten diñeiro fóra del. Pero iso tamén significa que a vítima é verdadeiramente unha vítima, porque agora el ou ela Non se pode recuperar calquera dos datos, a menos realmente teñen algúns old-school backup del. Entón, aquí tamén é unha especie de realidade que vai ler sobre estes días. E como pode defender contra isto? Ben, esta é unha lata enteira de vermes, sen trocadilhos, sobre virus e gusanos e afíns. E hai certamente software co cal pode defenderse. Pero mellor que a que é só para ser intelixente sobre iso. En realidade, eu haven't-- este é un dos estes fagan o que eu digo, non como fago as cousas, perhaps-- Realmente non teño usado software antivirus en anos porque se xeralmente sabe o que buscar, pode defenderse contra máis todo no seu propio país. E, de feito, oportuna aquí no Harvard-- había un erro ou un problema a semana pasada, onde Harvard é claramente, como, seguimento lotes de tráfico de rede. E todos vostedes mesmo visitar o sitio web do CS50 podería obter un proverbio alerta que non pode visitar esta web. Non é seguro. Pero se intentou visitar Google ou outros sitios, tamén, aqueles tamén eran inseguros. Porque Harvard, tamén, ten algún tipo de sistema de filtrado que está mantendo un ollo en sitios potencialmente malicioso para axudar a protexer-nos contra nós. Pero aínda esas cousas son claramente imperfecta, se non é con erros, eles mesmos. Entón aqui-- se está curioso, eu vou deixar eses diapositivas ata online-- é a información real que o adversario deu. E el ou ela foi pedindo en bitcoin-- que é un currency-- virtual de $ 800 EUA para realmente descifrar os datos. Desafortunadamente, este foi completamente errado. Entón agora imos ollar para algo máis político. E unha vez máis, o obxectivo aquí é para comezar a pensar sobre como pode tomar decisións máis informadas. E iso é algo pasando actualmente no Reino Unido. E este foi un marabilloso Tagline dun artigo sobre iso. O Reino Unido está introducindo, como vai ver, un novo vixilancia proxecto de lei a través do cal o Reino Unido é propoñendo a supervisar todo os británicos facer por un período dun ano. E, a continuación, os datos son xogados fóra. Citas, pecha comiñas, "sería servir unha tiranía ben. " Entón, imos dar un ollo con un amigo do Sr Colbert. [REPRODUCIÓN DE VIDEO] -Ben-Benvida, benvido, benvido a "Semana pasada Tonight". Moitas grazas por unirse a nós. Eu son John Oliver. Tempo só para unha rápida recapitulación da semana. E comezamos co Reino Unido, Magic Kingdom menos da Terra. Esta semana, o debate foi trabada ao longo hai máis dunha lei nova controvertida. -O Goberno británico é novas leis de vixilancia descortinando que se estenden significativamente o seu poder para supervisar as actividades en liña da xente. -Theresa Maio non chama unha licenza para operar. Outros teñen chamou-lle un charter de bisbilhoteiro, non teñen? -Ben, Soster porque-- snooper de charter non é a frase correcta. Isto soa como o acordo de oito anos de idade, é forzado a asinar prometedor para bater antes de que entrar no cuarto dos seus pais. Dexter, asinar charter deste bisbilhoteiro ou non podemos ser responsable polo que podes ver. Este proxecto de lei podería escribir na lei unha enorme invasión de privacidade. -Sob Os plans, unha lista de sitios visitada por todas as persoas do Reino Unido será gravado durante un ano e podería ser postos á disposición da policía e de seguridade servizos. -Este Comunicacións datos non revelaría a páxina web exacto que mirou, pero ía amosar o lugar foi. -OK. Polo tanto, non sería almacenar o páxina exacta, só o web. Pero iso aínda é unha morea de información. Por exemplo, se alguén visitou orbitz.com, sabería que eran pensando en facer unha viaxe. No caso de que visitaron yahoo.com, vostede sei que só tivo un accidente vascular cerebral e esqueceu a palabra "google". E no caso de que visitaron vigvoovs.com, vostede sabe que eles están con tesón ea súa clave B non funciona. E aínda para toda a exploración poderes do proxecto de lei contén, Ministro do Interior británico Theresa May insiste en que os críticos teñen soprado fóra de proporción. Rexistro de conexión a Internet é un -Unha rexistro do servizo de comunicación que unha persoa teña usado, non un rexistro de todas as páxinas web que teñan acceder. É simplemente o equivalente moderno dunha conta de teléfono discriminada. -Si, Pero iso non é tan reconfortante, mentres ela pensa que é. E eu vou dicir por que. En primeiro lugar, eu non quero o goberno mirando para o meu teléfono chama un. E en segundo lugar, un Internet de navegación é un pouco diferente do unha conta de teléfono discriminada. Ninguén freneticamente exclúe teléfono conta cada vez que rematar unha chamada. [FIN DE REPRODUCIÓN] DAVID Malan: Un modelo do emerxente sobre o xeito no que me preparar para a clase. É só asistir TV por unha semana e ver o que vén de fóra, claro. De xeito que, tamén, foi só a partir do último noite no "último Week Tonight". Entón, imos comezar a falar agora sobre algunhas das defensas. Efectivamente, a algo como este, onde os británicos están propondo para manter un rexistro deste tipo de datos, onde pode el estar benvida? Ben, lembre de pset seis, pset sete, oito e pset agora que dentro deses Virtual envelopes-- polo menos para HTTP-- son mensaxes que se parecen con iso. E así esta mensaxe, por suposto, é non só dirixida a un enderezo IP específico, que o goberno aquí ou alí seguramente podería facer login. Pero aínda dentro deste sobre é unha mención explícita do nome de dominio que está a ser visitado. E se non é só slash, pode realmente ser un nome de ficheiro específico ou unha imaxe ou unha película específico ou, unha vez máis, calquera cousa de interese para que podería certamente ser interceptado se todo o tráfico de rede dalgún xeito se está proxy a través de servidores gobernamentais, como xa ocorre nalgúns países, ou se hai son unha especie de descoñecido ou acordos non revelados, como xa sucedeu neste país entre determinados gran players-- ISP e empresas de telefonía e o como-- e do goberno. Tan divertido story-- a última vez que eu escollín badplace.com fóra do cumio da cabeza como un exemplo dun esbozado web, eu non fixen, en realidade, veterinario de antemán se ou non que de feito, levou a unha badplace.com. Afortunadamente, este dominio nome está só aparcado, e realmente non levar a unha badplace.com. Entón, imos continuar a usar aquel para o momento. Pero me dixeron que podería backfire moi mal aquel día en particular. Entón, imos comezar a falar agora sobre certas defensas e que buratos alí Pode ata ser naqueles. Entón contrasinais é unha especie de go-to responder para unha serie de mecanismos de defensa, non? Só contrasinal protexe-lo, a continuación, que ha manter os adversarios fóra. Pero o que iso realmente significa? Entón lembro de hackers dous, de volta se abordado isso-- cando tivo para romper contrasinais nun file-- ou mesmo en problema definir sete, cando nós dámoslle unha mostra de SQL arquivo de algúns nomes de usuarios e contrasinais. Estes foron os nomes de usuarios que vin, e estes foron os hashes que distribúe a edición hacker problema establecer dous. E se está a se pregunta todo isto xa que os contrasinais eran reais, isto é o que, de feito, eles descifrar para que podería ter rachado en pset dous, ou podería ter figurado eles broma no conxunto de problemas de sete. Todos eles teñen algúns esperanza significado bonito aquí ou en New Haven. Pero o takeaway é que todos eles, polo menos aquí, son bastante curto, moi adiviñación. Quero dicir, en base á lista aquí, que son, quizais, o máis fácil rachar, para descubrir escrita software que só suposicións e cheques, que diría? Audiencia: Contrasinal. DAVID Malan: Contrasinal de moi bo, non? E é unha apenas--, é un contrasinal moi común. De feito, cada ano hai unha lista de os contrasinais máis comúns do mundo. E citas, "password" unquote adoita na parte superior desta lista. Dous, está nun dicionario. E vostede sabe o problema axustou cinco que non é que pode ser un hard-- pouco tempo consuming-- pero non é así tan difícil de cargar un gran dicionario na memoria e, a continuación, usalo para tipo de suposición e comprobación todas as palabras posibles nun dicionario. O que máis pode ser moi fácil de adiviñar e comprobar? Si? Audiencia: A repetición de letras. DAVID Malan: A repetición de símbolos e letras. Así, tipo de tipo de. Así, en fact-- e non imos entrar en grandes detalle aqui-- todos estes eran salgadas, que pode lembrar de conxunto de problemas de documentación de sete. Algúns deles teñen diferentes sales. Entón, o que realmente pode evitar ter repetición de certos personaxes simplemente salgando os contrasinais de forma diferente. Pero cousas como 12345, que é unha cousa moi fácil de adiviñar. E, francamente, o problema con todas esas contrasinais é que todos eles están só usando 26 posibles caracteres, ou que 52 con algunhas letras maiúsculas, e, a continuación, 10 cartas. Non está a usar ningún carácter de funky. Non está a usar ceros para O do queridos ou pois eu ou L's ou-- se algún de vós Pensas que está a ser intelixente, aínda que, por ter un cero para un S en seu contrasinal ou-- OK, eu vin alguén sorrir. Entón, alguén ten un cero para O un de contrasinal. Non está realmente sendo como intelixente como se podería pensar, non? Porque máis que un dos nós está a facer iso no quarto-- e eu fun culpable deste como bom-- ben, tipo de todos de facelo, o que o adversario ten que facer? Tan só engadir ceros e uns e un par de outro-- quizais fours para H's-- ao seu arsenal e só substituír aqueles cartas para as palabras de dicionario. E é só un adicional loop ou algo parecido. Entón, realmente, a mellor defensa de contrasinais é algo moito máis random-parecendo entón estes. Agora, obviamente, ameazas contra contrasinais ás veces, inclúen correo-e como ese. Entón eu literalmente só teño este na miña caixa de entrada hai catro días. Isto é de Brittany, que aparentemente traballa no harvard.edu. E ela me escribiu como un usuario webmail. "Nós só reparou que o teu correo conta foi rexistrado a outro ordenador nunha localización diferente, e se quere verificar súa identidade persoal. " Entón temática en moitos correos electrónicos como este, que son exemplos de phishing attacks-- P-H-I-S-H-I-N-G-- onde alguén está intentando pescar e obter un información para fóra de ti, xeralmente por unha mensaxe como esta. Pero o que son algúns dos máis revelador sinais de que este non é, de feito, unha mensaxe lexítimo de Universidade de Harvard? Que é iso? Entón, mala gramática, a capitalización estraño, como algunhas letras son capitalizado en determinados lugares. Hai algún recuar estraño nun par de lugares. Que mais? Que é iso? Ben, iso certamente helps-- a gran caixa amarela que di que este pode ser o spam Google, que é certamente útil. Polo tanto, hai unha morea de sinais reveladores aquí. Pero a realidade é que correos electrónicos deben traballar, non? É moi barato, se non é libre, para enviar centos ou miles de correos electrónicos. E non é só a través do envío Los fóra do seu propio ISP. Unha das cousas que malware tende a fazer-- así virus e gusanos que accidentalmente ou infectar ordenadores, porque eles teñen foi escrito por un dos adversaries-- cousas que fan é só botan spam. Entón, o que hai existe no mundo, de feito, son cousas chamadas botnets, que é un xeito elegante de dicir que a xente con mellor codificación habilidades que a persoa que escribiu que a versión de buggy de software, ter software realmente escrito que xente como nós unsuspectingly instalar nos nosos ordenadores e, a continuación, comezar a correr atrás as escenas, pero para nós. E os malware programas intercomunicam. Eles forman unha rede, unha botnet se quere. E, xeralmente, o máis sofisticada de adversarios ten algún tipo de control remoto sobre miles, se non decenas de miles, de ordenadores por só enviar unha mensaxe en internet que todas estas bots, por así dicir, son capaces de escoitar ou ocasionalmente petición dalgún lugar central e logo pode ser controlada para enviar spam. E isto de spam pode ser só vendido ao mellor postor. Se é unha empresa ou tipo de unha empresa franxa que realmente non se preocupan o especie de ética do spamming seus usuarios pero só quere bateu a fóra dun millón de persoas e espero que o 1% eles-- que aínda é un número non-trivial potencial de buyers-- realmente pode pagar eses adversarios no tipo de mercado negro das sortes para enviar estes spam vía súas botnets para ti. Entón, só tes que dicir, que non é unha mensaxe particular atractivo. Pero aínda Harvard e Yale e similares frecuentemente cometer erros, en que sabemos dalgunhas semanas volta que pode facer unha conexión dicir www.paypal.com. E parece que vai máis alá. Pero, obviamente, el en realidade non facelo. E así por Harvard e Yale e outros certamente cometido cos anos en enviar un correo que son lexítimos, pero conteñen hyperlinks neles. E nós, como seres humanos, foron adestrado por tipo dos funcionarios, moitas veces, para realmente pode seguir conexións que recibimos nun correo electrónico. Pero aínda que non é a mellor práctica. Entón, se vostede non chegar unha mensaxe como isto-- e é posible que a partir Paypal ou Harvard ou Yale ou Bank of America ou o como-- aínda non debe clic a conexión, aínda que pareza lexítimo. Ten que escribir manualmente URL que vostede mesmo. E, francamente, iso é o que o administrador do sistema debe estar nos dicindo para facer iso que non estamos enganados en facelo. Agora, como moitos de vostedes quizais por ollando para o seu lugar, teñen contrasinais escrito nalgún lugar? Quizais nun caixón no seu cuarto do dormitorio ou quizais under-- nunha mochila en algún lugar? Carteira? Non? Audiencia: En un cofre a proba de lume? DAVID Malan: un cofre a proba de lume En? Aceptar. Entón, iso é mellor que un nota pegajosa no seu monitor. Entón, por suposto, algúns está insistindo no. Pero algo me di que é non é necesariamente o caso. Así como sobre un máis fácil, máis probable question-- como moitos de vostedes están a usar o mesmo código para varios sitios? Oh, Aceptar. Agora estamos sendo honestos. Todo ben. Entón esta é unha noticia marabillosa, non? Porque se isto significa que só un dos todos os sitios que está a usar é comprometida, Agora, o adversario ten acceso a máis datos sobre vostede ou máis exploits potenciais. Entón, iso é moi sinxelo de evitar. Pero como moitos de vostedes teñen un password bastante guessable? Quizais non tan mal como iso, pero algo? Por algún sitio idiota, non? Non é de alto risco, non ten unha tarxeta de crédito? Todos. Como, ata eu teño que contrasinais son, probabelmente, só 12.345, con certeza. Entón agora tentar facer login en cada sitio pode pensar con malan@harvard.edu e 12345 e ver se funciona. Pero facemos iso, tamén. Entón, por que? Por que así que moitos de nós teñen ou moi contrasinais fáciles ou as mesmas claves? Cal é a do mundo real Xustificación para iso? É máis fácil, non? Se eu dixen ao contrario, academicamente, vostedes debe ser realmente escoller contrasinais pseudoaleatorios que son polo menos 16 caracteres e ten unha combinación de letras do alfabeto, números e símbolos, que diaños está a suceder para ser capaz de facelo, ou Teña en conta que aquelas contrasinais, e moito menos para cada un e cada sitio é posible? Entón o que é unha solución viable? Ben, un dos maior takeaways hoxe, tamén, de forma pragmática, faría ser, honesta, para comezar usando algún tipo de xestor de contrasinais. Agora, hai Upside e desvantaxes destas cousas, tamén. Estes son dous que tenden a recomendar en CS50. Un botón de chamada 1Password. Un chámase LastPass. E algúns de vostedes poden usalos xa. Pero é xeralmente un peza de software que non facilita a xeración de gran contrasinais pseudoaleatorios que non pode posiblemente lembrar como un ser humano. El almacena os pseudo-aleatorio contrasinais no seu propio banco de datos, espero que no seu disco local, drive-- cifrado, mellor aínda. E todo o que, o ser humano, ten que se lembrar, Normalmente, é unha contrasinal mestra, que probablemente vai ser super longa. E quizais non sexa caracteres aleatorios. Quizais é, tipo, unha frase ou unha curto parágrafo que poida lembrar e podes escribir cada día para desbloquear o ordenador. Entón usa un especialmente grande contrasinal para protexer e cifrar todas as outras claves. Pero agora está no costume de usar software como este para xerar pseudo-aleatorio contrasinais en todos os sitios que visita. E, de feito, podo confort dicir agora, en 2015, Non sei máis de miñas claves máis. Sei que o meu contrasinal mestra, e eu tecleo que, sen saber, unha ou máis veces ao día. Pero o lado positivo é que agora, se hai un dos meus clientes está comprometida, non hai ningunha forma de alguén é vai usar esa conta para entrar noutro, porque ningún dos miñas claves son o mesmo. E, por suposto, ninguén, nin sequera se ou ela escribe software contraditorio a forza bruta e cousas creo que todos passwords-- posible as posibilidades de que van escoller os meus 24 caracteres longos contrasinais é tan, tan baixo que eu non son só preocupado esa ameaza anymore. Entón, cal é o trade-off aquí? Isto parece marabilloso. Eu son moito máis seguro. Cal é o trade-off? Si? Audiencia: Equipo. DAVID Malan: Equipo. É moito máis fácil escriba 12345 e eu estou conectado en contra algo que é 24 caracteres ou un curto parágrafo. Que mais? Audiencia: Se alguén rompe a chave mestra. DAVID Malan: Yeah. Entón está tipo de cambio o escenario de ameaza. Se alguén adiviña ou figuras fóra ou le o Post-it nota no seu cofre seguro de arquivos, o contrasinal principal que ten, agora todo está comprometida en que anteriormente iso era talvez só unha conta. Que mais? Audiencia: Se quere empregar calquera das súas contas noutro dispositivo e non ten LastPass [inaudível]. DAVID Malan: Si, iso é tipo de captura, tamén. Con estas ferramentas, tamén, se non ten o seu ordenador e está dentro, como, algún café ou está na casa dun amigo ou dun laboratorio de informática ou onde queira que quere e para entrar en Facebook, non sabe mesmo o que a chave de Facebook é. Agora, ás veces, pode paliar por esta ter unha solución de que falaremos aquí a pouco chamado de autenticación de dous factores en que Facebook vai te enviar mensaxes ou pode enviar unha mensaxe cifrada especial para o seu teléfono ou algún outro dispositivo que leva nas súas claves con que pode entrar. Pero iso é, quizais, se é aburrido no soto do centro de ciencia ou noutro lugar aquí no campus de New Haven. Pode non ter sinal. E así que non é necesariamente solución. Entón é realmente un trade-off. Pero o que me gustaría o fomentar a fazer-- se ir ao sitio web do CS50, realmente organizados para o primeiro de estas empresas para unha licenza de instalación, por así dicir, para todos os alumnos CS50 así que non ten que pagar os US $ 30 ou así que custa normalmente. Para Macs e Windows, podes consultar 1Password gratuitamente na páxina web da CS50, e nós imos conectar-te con iso. Entender, tamén, que algúns dos estes tools-- incluíndo LastPass nun dos seus forms-- é baseada en nube, como Colbert di, o que significa que as súas claves encryptedly son almacenados na nube. A idea non é que pode ir algunha persoa aleatoria ou ordenador do amigo e facer sesión no seu Facebook conta ou similares porque primeiro ir lastpass.com, acceder o seu contrasinal, e, a continuación, escriba o. Pero cal é o escenario de ameaza alí? Se está almacenando cousas na nube, e está acceder ao sitio nalgúns ordenador descoñecido, o que podería estar facendo o seu amigo para ti ou para as súas teclas? Aceptar. Eu vou estar avanzando manualmente desliza agora en diante. Keylogger, non? Outro tipo de malware é un keylogger, que é só un programa que, de feito, rexistra todo o que escribe. Polo tanto, hai, tamén, pode ser mellor para ter algún dispositivo secundario como este. Entón, o que é autenticación de dous factores? Como o nome suxire, é que ten non un, senón dous factores cos que para acceder a un sitio web. Entón, en vez de usar só un contrasinal, Ten algún outro segundo factor. Agora, que xeralmente é un, factor é algo que sabe. Entón, algo tipo de en ollo da súa mente, o que é a chave que memorizou. Pero dous, non outra cousa que coñece ou xa memorizado pero algo que ten fisicamente. A idea aquí é súa ameaza non podería ser algunha persoa aleatoria en internet, que pode só adiviñar ou descubrir o seu contrasinal. El ou ela ten que ter físico acceso a algo que ten, que aínda se pode e aínda, se cadra, todo o máis fisicamente ameazante. Pero é polo menos un distintos tipos de ameaza. Non é un millón de persoas sen nome aí tentando entrar no seus datos. Agora é un moi específico persoa, quizais, que, se isto é un problema, que é Outro problema por completo, ben. Así que xeralmente existe para teléfonos ou outros dispositivos. E, de feito, só rolou Yale iso na metade do semestre, tales que iso non afecta persoas nesta sala. Pero aqueles de vostedes seguinte xunto en New Haven sei que se login no seu ID yale.net, ademais de escribir a súa nome de usuario e contrasinal, está entón solicitado con iso. E, por exemplo, esta é unha captura de pantalla que eu tomei esta mañá cando entrar na miña conta Yale. E iso me envía o equivalente dunha mensaxe de texto para o meu teléfono móbil. Pero en realidade, eu baixei un app de antemán que Yale agora distribúe, e eu teño que agora escriba o código que envían o meu móbil. Pero, para ser claro, o Upside deste é que agora, mesmo se alguén descobre meu contrasinal Yale, estou seguro. Iso non é suficiente. Isto é só unha chave, pero eu precisa de dous para desbloquear miña conta. Pero o que é o lado negativo, quizais, do sistema de Yale? E nós imos deixar Yale sabe. Cal é a desvantaxe? Que é iso? Se non ten servizo de móbil ou se non teñen acceso WiFi porque é só nun soto ou algo así, pode non ser capaz de obter a mensaxe. Afortunadamente, neste caso particular, iso vai usar o Wi-Fi ou calquera outra cousa, que funciona en torno a el. Pero un escenario posible. Que mais? Podería perder o seu teléfono. Simplemente non telo. A batería morre. Quero dicir, hai un número escenarios de irritantes pero posibles escenarios que poden ocorrer que facer se arrepender desta decisión. E o peor posible resultado, a verdade, a continuación, sería para os usuarios desactivar esta completamente. Polo tanto, hai sempre vai ser esa tensión. E ten que atopar por si mesmo como unha especie de usuario dun punto doce. E para facelo, ter un par de suxestións concretas. Se usa Google Gmail ou Google Apps, sei que se vai a este URL aquí, podes activar de dous factores autenticación. Google chama de confirmación en 2 pasos. E prema en Configuración, e entón facer exactamente isto. Iso é unha boa cousa que facer, sobre todo nestes días, porque grazas a cookies, está rexistrado case todo o día. Entón raramente teñen que escriba o seu contrasinal de calquera maneira. Entón, pode facelo unha vez por semana, unha vez ao mes, unha vez ao día, e é menos dun gran tratar do que no pasado. Facebook tamén ten iso. Se vostede é un pouco frouxa con dixitación a chave de Facebook en amigos ' ordenadores, polo menos, permitir de dous factores identificación de xeito que este amigo, mesmo se el ou ela ten un keystroke logger, eles non poden entrar na súa conta. Ben, por que isto? Non poderían simplemente rexistrar o código que eu escriba no meu teléfono que Facebook ten enviado a min? Audiencia: [inaudível]. DAVID Malan: Yeah. O software ben deseñado cambiará estes códigos que son enviadas para o seu teléfono cada poucos segundos ou cada vez e para que, si, mesmo se el ou ela descobre o que é o código, aínda é seguro, que vai ter caducado. E iso é o que parece quere na web de Facebook. Pero hai outra visión completamente. Polo tanto, se este tipo de trade-offs non son particularmente sedutor, un principio xeral de seguridade sería ser, así, só a, polo menos, as cousas auditoría. Non tipo de poñer a cabeza no area e non sabe se é cando foi comprometido ou xunto. Polo menos crear un mecanismo que informa instantaneamente Se algo anormal aconteceu de xeito que, polo menos estreito a xanela de tempo durante que alguén pode facer estragos. E por iso, quero dicir o following-- en Facebook, por exemplo, pode conectar o eles chaman alertas de sesión. E agora, eu teño activado correo electrónico Identificar-se alertas, pero non notificacións. E o que iso significa que, se os avisos Facebook Eu xa rexistrado nun novo Computador-- como se eu non ten un cookie, é un enderezo IP diferente, é un tipo de Computador-- van, neste escenario, enviar me unha mensaxe dicindo, hey, David. Parece que conectado a partir dun ordenador descoñecido, só FYI. E agora a miña conta pode ser comprometida, ou o meu amigo irritante podería ser o login en miña conta agora postea cousas no meu comentario de noticias ou similares. Pero, polo menos, a cantidade de tempo co que eu son ignorante do que é super, super estreita. E eu espero que poida responder. Así, os tres destes, eu o faría digamos, son cousas moi boas para facer. Cales son algunhas das ameazas que son un pouco máis difícil para nós que os usuarios finais para protexerse contra? Alguén sabe o que secuestro de sesión é? É unha ameaza máis técnico, pero moi familiar agora que temos feito PSET seis e sete e oito agora. Entón lembro que cando enviar o tráfico a través da internet, algunhas cousas acontecen. Deixe-me ir adiante e rexistrar en C9 ou CS50.io. Déame só un momento para sesión na miña conta jHarvard. Audiencia: Cal é o seu contrasinal. DAVID Malan: 12.345. Todo ben. E aquí, sei que eu ir adiante e pedir un web página-- e, con todo, deixe-me facelo. Déixeme abrir Inspector de Chrome guía e meu tráfico de rede. E déixeme ir http://facebook.com e limpar esta. De feito, xa sabe o que? Imos a un máis familiar um-- https://finance.cs50.net e prema en Inserir e rexistro o tráfico de rede aquí. Entón, observe aquí, se eu ollar no meu tráfico de rede, resposta headers-- imos ata aquí. Resposta headers-- aquí. Así, o primeiro pedido que enviou, que foi á páxina estándar, el respondeu con eses cabeceiras de resposta. E falamos de cousas como localización. Como, localización significa redireccionar para login.php. Pero unha cousa que nós non falamos dunha enorme importe foi sobre liñas como esta. Polo tanto, este é interior da Sobre virtual que é enviado de CS50 Finance-- a versión que vostedes escribiron, demasiado-- para portátil de usuario ou ordenador de mesa. E esta é a creación dun cookie. Pero o que é unha cookie? Pense de novo a nosa discusión sobre PHP. Si? Si, é unha forma de dicir o sitio que aínda está dentro do sistema. Pero como é que funciona? Ben, ao visitar finance.cs50.net, parece que este servidor que Implementar é definir unha cookie. E ese cookie é convencionalmente chamar PHPSESSID ID sesión. E pode pensar niso como un handstamp virtual nun club ou, como, un parque de atraccións, un pequeno anaco de pintura vermella que vai na súa man de xeito que a próxima vez que visite o porta, simplemente amosar o seu lado, ea seguridade na porta vai deixar que pasar ou non en todo con base nese selo. Así, a posterior Solicita que o meu navegador sends-- si ir ao seguinte petición e mira para as cabeceiras de solicitude, notarás máis cousas. Pero o máis importante é esa porción destacada aqui-- non definido bolinha pero cookie. E se eu follas cada un desas solicitudes HTTP posteriores, cada vez que eu ía ver unha man sendo estendido que exactamente o mesmo PHPSESSID, o que quere dicir esta é a mechanism-- este gran pseudorandom number-- que un servidor usa para manter a ilusión de PHP $ _SESSION obxecto, no que pode almacenar cousas como ID de usuario ou o que está no seu carro de compras ou calquera número de outras partes de datos. Entón, cal é a implicación? Ben, o que se isto datos non son criptografía? E, de feito, que a mellor práctica cifrar practicamente cada un dos sitios web da CS50 estes días. Pero é moi común nestes días para sitios aínda non ter en HTTPS o inicio da URL. Son só HTTP, dous puntos, corte barra. Entón, cal é a implicación alí? Isto significa simplemente que todos estes cabezallos están dentro dese sobre virtual. E calquera que espreita o aire ou fisicamente intercepta ese paquete fisicamente pode ollar para dentro e ver o que este cookie é. E así secuestro de sesión é simplemente unha técnica que un adversario usa para farejar datos no aire ou nalgúns rede con fíos, mirar para dentro deste sobre, e ver, oh. Vexo que o seu cookie 2kleu é o que quere. Deixe-me ir adiante e facer unha copia do seu selo man e agora comezar a visitar Facebook ou Gmail ou o que quere me e só presentar o mesmo handstamp exacta. E a realidade é, navegadores e servidores son realmente tan inxenuo. Se o servidor ve que aínda biscoito, o seu propósito na vida debe ser para dicir, oh, que debe ser David, que só rexistrado un pouco atrás. Deixe-me amosar ese mesmo usuario, presuntamente, caixa de entrada de David ou Facebook mensaxes ou calquera outra cousa en que o seu rexistrado. E a única defensa contra que é para cifrar só todo dentro do sobre. E, por sorte, unha morea de sitios gusta Facebook e Google e similares están a facer iso hoxe en día. Pero calquera que non deixalo perfectamente, perfectamente vulnerable. E unha das cousas que podes fazer-- e unha das características agradables, a verdade, de 1Password, o software Mencionei anteriormente, é se instala-lo no seu Mac ou PC, o software, ademais de almacenar o seu contrasinal, será tamén aviso-lo se non intentar sesión nun sitio que é indo para enviar o seu nome de usuario e contrasinal non cifrada e en claro, por así dicir. Todo ben. Entón secuestro de sesión se reduce a iso. Pero hai esoutro forma que as cabeceiras HTTP se pode usar para aproveitar de nós. E iso aínda é unha especie de un problema. Isto é realmente só unha encantador Sentímolo a poñer-se Cookie Monster aquí. Pero Verizon e AT & T e outros tomaron unha morea de críticas uns meses para inxectar, sen o coñecemento dos usuarios inicialmente, unha cabeceira HTTP extra. Así, aqueles de vostedes que tiveron Verizon Wireless e AT & T móbil teléfonos, e foi visitar sitios a través do seu teléfono, sen o seu coñecemento, tras o seu HTTP solicitudes deixar Chrome ou Safari ou o que quere no seu teléfono, vaia Verizon ou AT & T router, eles presunçosamente durante algún tempo foron a inxección dun cabeceira parecer isto-- como un par de valor clave onde a clave é só X-UIDH para identificador único cabeceira e, a continuación, un valor aleatorio grande. E eles fan isto para que poden exclusivamente identificar todo o tráfico web para persoas que reciben a súa solicitude HTTP. Agora, por que Verizon e AT & T e similares quere para a súa identificación lo exclusivamente para todos os sitios que está a visitar? Audiencia: mellor servizo ao cliente. DAVID Malan: melhor-- non. É unha boa idea, pero é non para mellor atención ao cliente. Que mais? Publicidade, non? Así, poden construír unha rede de publicidade, presuntamente, polo que, aínda que desconectar cookies, mesmo se ten especial software no teléfono que mantén vostede en incógnito mode-- ha. Non hai xeito anónimo cando o home no middle-- literalmente Verizon ou AT & T-- está inxectado datos adicionais sobre as que non ten control, revelando así quen é vostede para que o sitio resultante novo e de novo. Entón, existen xeitos de se optar por este. Pero aquí, tamén, é algo que, a verdade, a única forma para empurrar cara atrás sobre iso é para deixar a transporte completo, desative- no caso de que aínda permiten que, ou, como aconteceu neste caso facer un pouco de ruído en liña, tales que as empresas realmente responder. Isto, tamén, é só un encantador oportunidade de amosar iso. E imos dar un ollo, imos dicir, unha ou dúas ameazas finais. Entón nós falamos sobre CS50 Finance aquí. Entón, vai entender que temos este fermoso pequeno icono no botón de inicio de sesión aquí. O que significa que eu no seu lugar use esta icona? Polo tanto, antes, despois. Antes despois. Que tras dicir? É seguro. Iso é o que me gustaría que pensa. Pero, ironicamente, é seguro porque temos HTTPS. Pero iso é como é fácil de cambiar algo nun sitio, non? Vós todos saben un pouco de HTML e CSS agora. E, de feito, é moi a-- fácil e se non facer ele-- para cambiar a icona. Pero iso, tamén, é o que empresas nos ensinaron a facer. Entón, aquí está unha imaxe do Bank do sitio web de América, esta mañá. E teña en conta, un, son tranquilizar-me que é o que é un sinal seguro na parte superior esquerda. E eles tamén teñen un icona de cadeado no botón, o que significa que para min, o usuario final? Verdadeiramente nada, non? O importante é o feito de que non é o gran verde URL enriba con HTTPS. Pero se nós zoom iso, é só como eu, sabendo un pouco de HTML e un pouco de CSS, e dicindo: hey, meu sitio é seguro. Como, calquera pode poñer un candado e palabra segura sign-on no seu sitio. E realmente non significa nada. O que significa algo é algo así, onde ves https: // o feito de que Bank of America Corporation ten este gran barra verde, mentres CS50 non fai, significa só que pagaron varios centos dólares máis para ter adicional comprobación do seu dominio feito en EEUU para que os navegadores que adhiren a esta norma tamén pode amosar-nos un pouco máis do que iso. Entón, imos deixar as cousas en que, asustalos lo un pouco máis antes de tempo. Pero o mércores, estaremos unidos por SCAZ de Yale para un ollo intelixencia artificial eo que podemos facer con estas máquinas. Imos velo a próxima vez.