[Zenelejátszási] 

DAVID MALAN: Ez CS50, és ez a kezdete a 10. héten. És lehet, hogy emlékezzen erre A kép a néhány hete amikor beszélgettünk Az internet és hogyan ez ténylegesen végrehajtott fizikailag. És lehet, hogy emlékszem, hogy van valójában egy csomó kábelek valamint a vezeték nélküli technológiák összekapcsolási az összes csomópontot, vagy routerek és más ilyen technológiák az interneten. És egy csomó, ami underseas. 

Nos, kiderült, hogy azok, underseas kábelek egy kicsit a célpont. És a mai előadás teljesen a biztonság, nem csak A fenyegetések, hogy mi minden arcát fizikailag, hanem gyakorlatilag, és azt is, szemben a farok vége Ma, néhány a védekezéssel hogy mivel a felhasználók ténylegesen a helyére. 

De először, az egyik az első és a talán a fizikai threat-- [Videó lejátszás] -Could Oroszország tervezi támadás a tenger alatti kábelek hogy csatlakoztassa a globális internet? 

-Orosz Hajók és tengeralattjárók leselkedik közelében alatti kábelek hordozó szinte minden A világ internet. 

-Az Egész internet magával ezeket a kábeleket. 

-Elõször, Mi a interneten csinál a víz alatt? Utoljára megnéztem, nem vagyok volna, hogy a számítógépet nedves. Másodszor, ha engem kérdezel, hogy az internet utazik kontinensről kontinensre, Azt már mondtam műholdak vagy lézerrel, vagy, őszintén, Talán volna csak annyit mondott az interneten. 

És mi történt a felhő? Azt mondták, nem volt egy felhő. Emlékezik? Hé, mondjuk, hogy a felhő. Olyan volt, mint az internet volt a gőz információ, amely megkerüli a Földet, és a számítógép volt, mint egy merőkanál hogy odvas mit szükséges. 

De kiderült, hogy az interneten tulajdonképpen a víz alatt mert ezek a kábelek amelyek több mint 95% -a napi internetes kommunikáció. És amerikai hírszerző aggodalom, hogy A feszült vagy konfliktus, Oroszország lehet igénybe megszakította velük. Ez lenne a legnagyobb zavar az Internet szolgáltató mivel a szomszéd emeleten hogy egy jelszót az ő Wi-Fi-vel. OKÉ? Próbálja kutyája nevét. [Lejátszás vége] DAVID MALAN: Mielőtt viszont most, hogy néhányat a virtuális fenyegetések, Pár bejelentések. Tehát a barátaink egy CrimsonEMS jelenleg toborzás új mentősök, Emergency Medical Technician. És ez valójában valami különösen közel áll a szívemhez. 

Réges-régen, én Emlékszem, hogy egy Ikea nem sokkal a diploma megszerzése után, valóban. És míg én hagyja el a boltba, ez kisfiú, aki egy babakocsi kezdtek fordult a szó szoros értelmében a kék. És ő fuldoklott néhány darab étel volt feltehetően ütött megakadt a torkán. 

És az anyja pánikba esett. A szülők maguk körül voltak pánikba. És még én, aki egy kicsit ismerős Az EMS csak útján barátok, teljesen megdermedt. És ez csak hála valamit mint egy 15 éves úszómester, aki futott át, és valóban tudta, mit kell do ösztönösen és segítséget hívott és valóban húzta a fiú az ő babakocsi és valóban helyzetével foglalkozott. 

És nekem, hogy volt egy fordulópont. És ez volt az egy pillanat az alkalommal, amikor úgy döntöttem, a fene egye meg, Azt kell, hogy az én jogszabály együtt, és tényleg tudja hogyan reagáljon ezekre a helyzetekben. És így én magam kapott engedéllyel évvel ezelőtt, mint egy EMT. És a doktori iskola tettem lovagolni MIT mentőket bizonyos ideig, valamint mint megtartottam az én engedélyt óta. 

És valóban, a mai napig, az összes A CS50 személyzet itt Cambridge ténylegesen tanúsított CPR, valamint, hasonló okok miatt. Tehát ha egyáltalán Érdekel az, van Soha nem lesz elég idő A nap, hogy valami újba. De ha akarsz egy újévi felbontású, ne csatlakozzanak ezek a srácok itt vagy úgy jut el a Vöröskereszt minősítésre, sem itt, sem New Haven is. 

Tehát CS50 utolsó ebéd pénteken. Tehát, ha már nem csatlakoztak hozzánk, vagy ha van, és szeretné még egyszer, nem megy a CS50 weboldalára töltse ki az űrlapot van. Is tudjuk, hogy a mi barátaink Yale professzora Scassellati, már régóta egy AI, mesterséges intelligencia, sorozat nekünk hogy indul debütáló Ezen a héten a videót. Így különösen, ha érdekel folytat a projekt végső valahogy kapcsolódó mesterséges intelligencia, természetes nyelvi feldolgozás, még robotika, rájönnek, hogy ezek egy csodálatos inspiráció, hogy. 

És csak, hogy ha egy teaser Ebből kifolyólag itt van Scaz magát. 

[Videó lejátszás] 

-Egy Az igazán nagy dolgokat számítástechnika az, hogy a még csak Néhány héttel a tanulmányba, fogsz képes megérteni Sok az intelligens tárgyak és eszközök, melyek benépesítik Modern világunkban. Ebben a rövid videóban sorozat, megyünk nézni a dolgok, mint hogy a Netflix képes javasolni és ajánlani filmek hogy talán tetszik, hogy van ez, hogy Siri lehet válaszolni a kérdésekre, hogy van, hogyan lehetséges, hogy a Facebook képes felismerni az arcom és automatikusan címkékkel nekem egy fényképen, vagy hogy a Google hogyan képes felépíteni egy autó, ami hajtja a saját lábán. 

Szóval remélem csatlakozik hozzám ezt a rövid sorozat videók, a CS50 AI sorozat. Azt hiszem, rájössz, hogy tudod, sokkal több, mint azt gondoltad, hogy igen. [Lejátszás vége] DAVID MALAN: Tehát azok jelenik meg A kurzus honlapján később ezen a héten. Maradjon velünk. És addig, néhány bejelentések, hogy mi vár ránk. Tehát itt vagyunk. Ez a mi előadást biztonság. Következő szerdán, Scaz és Andy, fejünk tanítási fickó New Haven, itt lesz, hogy nézd meg mesterséges intelligencia Maga egy pillantást számítás az communication-- hogyan kell építeni használó rendszerek nyelven kommunikálni Eliza, Ha még nem ismeri, ez az szoftvert múlt, hogy Siri újabban és Watson, amit Lehet tudni, honnan Jeopardy vagy hasonlók. 

Aztán jövő hétfőn vagyunk Nincs itt Cambridge-ben. Mi vagyunk a New Haven egy második nézd meg a mesterséges intelligencia A Scaz és company-- AI ellenfelek játékok. Tehát, ha valaha is játszottam ellene A számítógép egyes videojáték vagy mobil játék vagy hasonló, akkor beszélni, hogy pontosan hogyan hogy-- építeni ellenfelek játékokhoz, hogyan képviselje a dolgokat a motorháztető alatt a fák a játékoktól, mint a tic-tac-toe a sakk a tényleges modern videojátékok is. 

Sajnos, kvíz egyik nem sokkal később. További részletek, hogy a CS50 a honlapján később ezen a héten. És mi a végső előadást a Yale lesz lehet, hogy pénteken, miután a teszt. És mi a végső előadást a Harvardon lesz a hétfő követően, természeténél beosztása. 

És így szempontjából mérföldkövek, mellett PSET nyolc héten; állapot jelentés, amely egy Gyors józanság ellenőrzés közted és a tanítási fickó; A hackathon, amely itt lesz Cambridge diákok számára New Haven és a Cambridge egyaránt. Mi lesz vigyázni minden közlekedési New Haven. A végrehajtás a A projekt végső lesz esedékes. És akkor mindkét egyetemen lesz-e olyan CS50 tisztességes amely lehetővé teszi számunkra, hogy Nézd meg, és a gyönyör milyen mindenki véghezvitt. 

Sőt, azt gondoltam, hogy ez lenne a jó pillanat, hogy felhívják a figyelmet erre a készülékre Itt, amit már használt bizonyos mennyiségű időt itt, ami egy szép érintőképernyő. És valóban, az utolsó évben volt egy 0,99 $ app hogy letölthető Windows alkalmazás tárolja annak érdekében, hogy felhívja a képernyőn. 

De őszintén szólva, ez nagyon zsúfolt. Ez lehetővé tette számunkra, hogy felhívja a képernyőn, de voltak, mint, Sok ikonok ide. A felhasználói felület meglehetősen rossz volt. Ha meg akarod változtatni Bizonyos beállítások, volt csak annyi rohadt kattintással. És a felhasználó interface-- vagy még pontosabban, A felhasználó experience-- volt elég optimális, Különösen használja, egy előadás környezetben. 

És így kinyúlt hogy a barátunk A Microsoft, Bjorn, aki ténylegesen Követett együtt CS50 interneten. És ahogy a projekt végső, Lényegében, ugye nagyon kedvesen hogy néhány bemeneti tőlünk, hogy pontosan A funkciók és a felhasználói élmény mi akarunk. És aztán ment építéséről A Windows ezt az alkalmazást itt amely lehetővé teszi számunkra, hogy draw-- oops-- és varázslatot the-- wow. Köszönöm. Rajzolni és helyesírás ezen a képernyőn itt nagyon minimális felhasználói felület. 

Szóval láttam én, talán érintse fel Itt alig észrevehetően, ahol most lehet kiemelni dolgokat piros. Mi lehet váltani, és most megy a fehér szöveg itt. Ha azt akarjuk, hogy valóban törölni A képernyő, meg tudjuk csinálni. És ha valóban inkább egy fehér vászon, amit tehetünk, hogy. Szóval ez nem olyan szörnyen kevés tervezési és ez jól. Szóval, hogy én futz, remélhetőleg, sokkal kevésbé idén az osztályban. 

És köszönet is, hogy pártfogoltja ő vagyok rajta ma egy kicsit gyűrűt. Ez Benjamin, aki interning Björn ezen a nyáron. Tehát ez egy kis gyűrűt. Ez egy kicsit nagyobb, mint a szokásos gyűrű. Hanem egy kicsit tárcsázza Az oldalon Az itt Igazából mozgassa a diák bal és jobb, előre és vissza, és valóban előre a dolgokat vezeték nélkül úgy, hogy az egyik, nekem nincs hogy folyamatosan megy vissza át a szóköz itt. És két, nem kell, hogy legyen az egyik ilyen hülye clickers és elmerül a kezem tartja a szart minden alkalommal annak érdekében, hogy egyszerűen kattintson. És az is biztos, hogy időben, majd a hardver mint ez, hogy szuper, szuper kisebb. 

Tehát biztos, ne habozzon gondolkodni kívül a doboz és olyan dolgokat, és hozzon létre dolgok, hogy nem is léteznek még a végleges projekt. Minden további nélkül, Nézd meg, mi vár ahogy belevetik magukat a végső projektek a CS50 hackathon 

[Videó lejátszás] 

[Zenelejátszási] 

[Horkolás] [Lejátszás vége] DAVID MALAN: Rendben. Tehát a Stephen Colbert klip hogy megmutattam Egy perce valójában a tévében csak néhány nappal ezelőtt. És valóban, egy pár a többi klip Megmutatjuk ma hihetetlenül elmúlt. És valóban, hogy beszél a valóságot, hogy olyan sok a technológia és, őszintén szólva, egy csomó ötletet Évek óta beszélünk arról a CS50 Tényleg mindenütt jelen vannak. És egyik célja a A tanfolyam minden bizonnyal hogy felvértezzük Önt a technikai képességek, így hogy ténylegesen megoldani a problémákat algoritmikusan, hanem két, úgy, hogy akkor valóban jobb döntéseket hozni és megalapozottabb döntéseket. És, sőt, tematikus egész sajtó és az online videók és cikkek ezekben a napokban csak egy ijesztő félreértés vagy hiánya értik, hogy a technológia működik, főleg a politikusok körében. 

És így valóban csak egy kicsit fogunk vessünk egy pillantást egy ilyen részleteket, is. De szó szerint csak az utolsó éjszaka volt, én ül A Bertucci-k, a helyi franchise-olasz helye. És én ugrált a Wi-Fi-vel. És én nagyon megnyugtatott látni, hogy ez biztonságos. És tudtam, hogy azért, mert azt mondja, Itt "Secure Internet Portál" amikor a képernyő jött. Szóval ez volt az a kis prompt hogy jön ki a Mac OS vagy a Windows, ha csatlakozunk Wi-Fi hálózathoz az első alkalommal. És volt, hogy olvassa el az abban foglalt feltételeknek feltételek és végül kattintson az OK gombra. És aztán hagytuk végbemenni. 

Szóval kezdjük, hogy újragondoljuk mi minden ez azt jelenti, és már nem vállalja a nyújtott, amit az emberek mondani nekünk, amikor vele találkozni különböző technológiával. Tehát az egyik, hogy mit jelent az, hogy ez egy biztonságos internetes portál? Mi lehet a Bertucci megnyugtató engem? Közönség: Az elküldött csomagok oda-vissza titkosított. DAVID MALAN: Jó. A csomagokat küldik vissza oda titkosított. Az, hogy valójában a helyzet? Ha ez lenne a helyzet, mit tudnék meg kell csinálni, vagy mit kell tudnom? Nos, azt látni egy kicsit lakat ikon Mac OS vagy a Windows mondván, hogy valóban van némi titkosítás vagy rejtjelező folyik. De mielőtt el titkosított portál, vagy Wi-Fi kapcsolat, mi muszáj általában írja? A jelszót. Tudom, nincs ilyen jelszót, és nem is nem azért írja ilyen jelszót. Én egyszerűen felpattintható az OK gombra. Tehát ez teljesen értelmetlen. Ez nem egy biztonságos internetes portál. Ez egy 100% biztonságos internetes portál. Egyáltalán nincs titkosítás megy tovább, és minden, ami ezzel biztosítsa az, hogy három szóból álló mondat a képernyőn ott. 

Szóval ez nem jelent semmit, szükségszerűen, technológiailag. És egy kicsit aggasztó, ha valóban olvassa el a feltételeket, amely meglepően olvasható, volt this-- "te megérteni, hogy fenntartjuk a jogot, hogy jelentkezzen vagy monitor forgalom biztosítása érdekében ezeket a kifejezéseket, hogy követik. " Szóval ez egy kicsit hátborzongató, ha Bertucci a figyel én internetes forgalmat. De a legtöbb olyan megállapodás, amely amit vakon kattintottak át már biztosan mondta, hogy mielőtt. 

Szóval mit is jelent ez valójában jelenti technológiailag? Tehát ha van valami hátborzongató fiú vagy nő vissza aki, mint, monitoring minden internetes forgalom, hogyan ő elérésével hogy az információ pontosan? Melyek a technológiai azt jelenti, amelyen keresztül hogy person-- vagy ellenféltől, több generally-- lehet nézi a forgalmat? 

Nos, ha nincs titkosítás, mi dolgokat tudtak szippantás, hogy úgy mondjam, egyfajta érzékeli a levegőben. Mi lenne megnézi? Igen? 

Közönség: A csomagok küldését a számítógépről a router? 

DAVID MALAN: Igen. A csomagokat küld a A számítógép és a router. Szóval lehet, hogy emlékszem, amikor voltunk New Haven, elhaladtunk ezeket a borítékokat, fizikailag, az egész közönség, hogy képviselje adatoknak az interneten keresztül. És természetesen, ha dobáltak őket a közönség vezeték nélkül érkeznek meg rendeltetési helyükre, bárki fajta fogd meg, és egy-egy példányt és valóban látni, mi van belsejében a borítékot. 

És persze, mi belsejében ezek a borítékok van tetszőleges számú dolog, többek között az IP-cím hogy megpróbálsz hozzáférést, illetve a gép nevét, mint www.harvard.edu vagy yale.edu hogy akarsz eléréséhez, vagy egészen más dolog. Sőt, az út, too-- már tudja PSET hat, hogy belül a HTTP kérések Ön kap perjel something.html. Tehát ha meglátogatott egy adott oldalt, letöltésével egy adott kép vagy videó, Minden ezen információk belsejében van a csomag. És így bárki ott Bertucci Can vizsgálni, hogy ugyanazokat az adatokat. Nos, milyen más fenyegetések ezen vonalak mentén szem előtt kell tartanom, mielőtt csak elkezd elfogadó tényként amit valaki, mint Bertucci Az egyszerűen azt mondja? Nos, ez egy article-- egy cikksorozatot hogy kijött csak néhány hónappal ezelőtt. A divat manapság Ezek keletű okos TV-k. Mi az a smart TV, ha már hallott róluk, vagy egy otthon? Közönség: Internet-kapcsolat? DAVID MALAN: Igen, internet-kapcsolat. Így általában, a smart TV egy TV, internet kapcsolat és egy nagyon gagyi felhasználó felület, amely Nehezebb, hogy ténylegesen használják a világhálót mert meg kell használni, mint, akár, le, balra és jobbra, vagy valami A távirányító csak eléréséhez dolgok, amelyek annyira könnyebben tenni egy laptop. 

De még ennél is aggasztóbb egy okos TV, és a Samsung TV-k ebben a konkrét esetben, volt, hogy a Samsung TV-k és egyebek Ezekben a napokban jöhet bizonyos hardverek létrehozni, hogy várakozásaik szerint a jobb felhasználói felületet az Ön számára. Tehát az egyik, akkor beszéljen néhány TV ezekben a napokban, nem ellentétben Siri vagy bármely Más ekvivalens a mobil telefonok. Szóval lehet mondani, parancsok, mint a változás csatorna, emelje hangerőt, kapcsolja ki, vagy hasonlók. De mi a következménye Az, hogy logikailag? Ha megvan a TV a nappaliban szobában vagy a TV lábánál az ágy elaludni, hogy, mi a hatása? Igen? 

Közönség: Lehet, hogy valami megy át a mechanizmus felismerni a beszédet. DAVID MALAN: Igen. Közönség: Ez lehet kell küldeni az interneten keresztül. Ha ez nem titkosított, akkor ez sebezhető. DAVID MALAN: Valóban. Ha van egy beépített mikrofon egy TV és célja az életben van, a design, hallgatni Önnek és válaszolni Önnek, Ez biztosan lesz hallgatni mindent, amit mondott majd fordítás, hogy a egyes beágyazott utasításokat. De a fogást, hogy a legtöbb ilyen TV-k nem tökéletesen okos magukat. Ők nagyon függ hogy internet-kapcsolat. 

Annyira, mint a Siri, ha beszél a telefonba, Gyorsan küldi az adatokat az egész Az internet az Apple szerverek, akkor kap vissza a válasz, szó a Samsung TV és ekvivalens Csak küldő mindent te mondván a nappaliban vagy a hálószobában, hogy a szervereket csak érzékeli mondott, bekapcsolja a TV- vagy kapcsolja ki a TV-ben? És Isten tudja, mit más is el kell mondani. Nos, van néhány módszer, Ennek enyhítésére, ugye? Mint mit Siri és mit nem a Google és mások legalább védekezni ez a kockázat, hogy ők hallgat, mindent? Meg kell aktiválni hogy mondok valamit mint, hé, Siri, vagy hi Google vagy a hasonló vagy OK, a Google vagy hasonlók. 

De mindannyian tudjuk, hogy azok, kifejezések fajta szopni, ugye? Mint Én csak sitting-- valóban az utolsó alkalom, Én voltam az irodában órán át Yale, azt hiszem, Jason vagy valamelyik TF tartott kiabálás, mint, hé, Siri, hé, Siri és volt, hogy a telefon dolgokat, mert ő túl közelebbi hogy én adott telefont. De az ellenkezője is igaz. Néha ezek a dolgok csak rúgni tovább, mert ez tökéletes. És valóban, a természeti nyelven processing-- megértése egy ember beszédmód és akkor csinál valamit alapuló it-- minden bizonnyal nem tökéletes. 

Most, ami még rosszabb, néhány Az lehet, hogy láttam vagy van egy TV, ahol meg tudod csinálni hülye vagy új-kor ilyeneket csatornát váltani balra vagy ezt a csatornát váltani a jobb vagy csökkentse a hangerőt, vagy növelje a hangerőt. De mit is jelent ez a TV? A kamera mutatott Önnek egyáltalán lehetséges alkalommal. 

És valóban, a brouhaha körül Samsung TV, amelyre került néhány Flack az, hogy ha olvassa el a feltételeket, és feltételeket, a TV-- a dolog akkor biztosan soha nem olvastam kicsomagolásakor A TV-készülék első time-- beágyazott ott volt egy kis jognyilatkozat mondván, a megfelelője, Egy talán nem is akarom, hogy személyes beszélgetések előtt a TV. És ez az, ami csökkenti a. 

De ne is kell neki, hogy. Meg kell tenni, hogy következtethetett a valóság hogy a mikrofon és kamera szó rám mutatott minden alkalommal Talán inkább rossz, mint jó. És őszintén mondom ezt kissé álszent. Én szó szerint, azokon kívül, kamerák, Nekem van egy apró kamerát itt az én laptop. Van egy másik itt. Van az én Mobil mindkét oldalon. Tehát ne tettem le a rossz irányba, akkor még néz rám, és figyelj rám. 

És mindezt lehet történik minden alkalommal. Tehát mi tart iPhone vagy Android telefon ezt az időt? Honnan tudjuk, hogy az Apple és Néhány hátborzongató személy a Google, nem hallgat be ez nagyon beszélgetést telefonon vagy beszélgetések Nekem van otthon vagy a munkahelyen? 

Közönség: mert az életünk nem olyan érdekes. 

DAVID MALAN: Mert mi élete nem olyan érdekes. Hogy valóban egy érvényes választ. Ha nem vagyunk aggódik egy adott veszély, van egy fajta, aki törődik szempont hozzá. Kis öreg hozzám nem megy hogy valóban a cél. De biztosan tudott. 

És még akkor is látni néhány sajtos dolgokat TV és filmek, mint, oh, nézzük a rajtrácson és-- mint Batman működik ez a sok, valóban, és valóban láthatjuk Gotham, mi folyik útján emberek mobiltelefonok vagy hasonlók. Néhány, hogy egy kicsit futurisztikus, de mi elég sok van ezekben a napokban. 

Szinte mindannyian mászkálok GPS transzponder, amely mondja Apple és a Google és mindenki másnak, hogy azt akarja, hogy hogy hol vagyunk a világban. Van egy mikrofont. Van egy kamera. Mi mondod a dolgokat, mint Snapchat és más alkalmazások minden embernek, minden a telefonszámot, minden e-mail címüket. És így ismét, az egyik a takeaways ma, remélhetőleg, hogy legalább szünet egy kicsit, mielőtt csak vakon mondván, OK mikor akar kényelem Snapchat tudva, akik a barátaid is. De fordítva, most Snapchat tudja, mindenki tudja és minden kis cetliket lehet, hogy tettek a kapcsolatok. 

Szóval ez volt időszerű is. Néhány hónappal ezelőtt, Snapchat Magát nem veszélyezteti. De volt némi harmadik féltől származó alkalmazások hogy könnyebbé tette, hogy megmentse pattan És a fogás hogy ez a harmadik fél által nyújtott szolgáltatás maga is sérül, részben azért, mert Snapchat szolgáltatás támogatott funkció, amely valószínűleg nem kellett volna, amely lehetővé tette számára ez archiválás egy harmadik fél által. 

És a probléma az volt, hogy egy archív A hasonlóan, 90.000 patent, azt hiszem, végül veszélybe. És így van, lehet, hogy néhány kényelmet dolgok, mint Snapchat hogy tiszavirág életű, jobbra? Van hét másodperc nézni hogy a nem megfelelő üzenetet vagy jegyzetet, majd eltűnik. De egy, a legtöbben Valószínűleg rájöttek hogyan kell screenshotok már, amelyek a legkönnyebb módja annak, hogy megkerüljék ezt. De két, nincs semmi leállítása cég vagy a személy az interneten elfogását, hogy adatok, potenciálisan, valamint. 

Szóval ez volt a szó szoros Csak egy-két nap ezelőtt. Ez volt a szép cikket főcím a honlapján online. "Epic Fail-- Teljesítmény féreg Ransomware Véletlenül Elpusztítja Az áldozat során az adatok titkosítása. " Tehát egy másik letépték a szalagcímek ilyesmi itt. Szóval lehet, hogy hallott malware, amely rosszindulatú software-- olyan rossz szoftver hogy az emberek túl sok szabad idő ír. És néha, csak nem buta dolgok, mint a fájlok törlését vagy spam, vagy hasonlók. 

De néha, és egyre inkább, ez sokkal kifinomultabb, ugye? Mindannyian tudják, hogyan kell pancsolás titkosítást. És Caesar és Vigenère nem szuper biztonságos, de van más is, természetesen, hogy kifinomultabb. És akkor mi van ebben ellenféltől tett ben írt darab malware hogy valahogy fertőzött csomó ember gépe. De nem volt ilyen egy idióta, és írt hibás változata ez a malware oly módon, hogy amikor ő hajtotta végre a code-- ó, mi vagyunk kapok egy csomó of-- sajnálom. Mi a sorstól egy csomó eltalálja a mikrofonba. OKÉ. 

Szóval, mi a probléma az volt, hogy ő írta néhány rossz kódot. És így keletkezett álvéletlen Titkosítókulcs amellyel titkosítani valaki adatok rosszindulatúan, majd véletlenül kidobta re a titkosítási kulcsot. Így a hatása ennek a malware-t nem rendeltetésszerűen használja, a váltságdíjat valaki adatok titkosítása ő merevlemez majd várta $ 800 US cserébe A titkosítási kulcs, ekkor Az áldozat visszafejteni személyes adataikkal. Inkább a rossz fiú egyszerűen titkosított az összes adatot a merevlemezen, véletlenül törölve a titkosítási kulcsot, és nem kapott pénzt belőle. De ez azt is jelenti, hogy az áldozat valóban egy áldozat, mert most ő nem kaphat kártérítést semmiféle adat, kivéve, ha hogy valóban van néhány régi iskola hát belőle. 

Tehát itt is van valami valóság hogy akkor olvastam ezekben a napokban. És hogyan lehet védekezni ellene? Nos, ez egy egész doboz férgek, nem szójáték szándékozott, a vírusok és férgek és hasonlók. És minden bizonnyal szoftver amivel meg tudja védeni magát. De jobb, mint ez csak hogy legyen okos róla. 

Ami azt illeti, haven't-- ez az egyik Ezek teszed, amit mondok, nem én dolog, perhaps-- én nem igazán használható víruskereső szoftver években mert ha általában tudják, mit kell keresnek, akkor védekezni a legtöbb mindent a saját. És valóban, időben itt Harvard-- volt egy hiba, vagy egy kérdés A múlt héten, amikor a Harvard egyértelműen, mint, felügyeleti sok hálózati forgalmat. És mindannyian még látogató CS50 honlapján talán ütött egy figyelmeztető mondás hogy nem lehet látogasson el a honlapon. Ez nem biztonságos. De ha megpróbálta meglátogatni Google, vagy más oldalakra, is, azokat is, volt bizonytalan. 

Ennek oka, hogy a Harvard is van valamilyen szűrőrendszer mely szemmel tartja el potenciálisan rosszindulatú weboldalak hogy segítsen megvédeni minket ellenünk. De még azok a dolgok nyilvánvalóan tökéletlen, ha nem hibás, magukat. 

Tehát here-- ha kíváncsi, én hagyja ezeket a diákat fel online-- a tényleges információ hogy az ellenség adta. És ő volt kérve a bitcoin-- amely egy virtuális currency-- $ 800 Az USA valójában visszafejteni az adatokat. Sajnos, ez a teljesen meghiúsult. Tehát most azt fogjuk megnézni, valami politikai. És újra, a cél itt az, kezdeni gondolkodni, hogyan tudod, hogy megalapozottabb döntéseket. És ez az, amit történik jelenleg az Egyesült Királyságban. És ez egy csodálatos szlogent egy cikket erről. Az Egyesült Királyság vezeti be, mint látni fogod, egy új felügyeleti Bill amellyel az Egyesült Királyságban javasolja, hogy figyelemmel kíséri mindent A britek nem egy egyéves időtartamra. És akkor az adatok kidobják. Idézet, idézet vége, "ez szolgálja a zsarnokság is. " 

Szóval vessünk egy pillantást a barátja Mr. Colbert. 

[Videó lejátszás] 

-Üdvözlő, Üdvözlő, üdvözlő hogy "Múlt hét Tonight." Nagyon köszönöm, hogy csatlakozott hozzánk. Nem vagyok John Oliver. Csak ideje egy gyors bedugni a héten. És kezdjük az Egyesült Királyságban, Föld legalább mágikus királyság. 

Ezen a héten, a vita óta dúl több mint van egy ellentmondásos új törvény. 

-A Brit kormány leleplező új felügyeleti törvények hogy jelentősen meghosszabbítja a hatalom figyelemmel kíséri az emberek online tevékenységek. 

-Theresa Májusig kéri ez érvényes működési engedéllyel. Mások nevezte szaglászó charter, nem teszi? 

-Nos, Várj because-- szaglászó a charter nem a megfelelő kifejezés. Ez úgy hangzik, mint a megállapodás egy nyolc éves jelentése kénytelen aláírni ígéretes kopogtatni mielőtt belép a szülei hálószobájába. Dexter, írja alá ezt a szaglászó charter vagy akkor nem vonható felelősségre azért, amit lehet látni. 

Ez a törvényjavaslat potenciálisan levelet a törvény egy hatalmas személyiségi jogok megsértése. 

-under A tervek, a weboldalak listája látogatják minden ember az Egyesült Királyságban rögzítésre kerül egy év, és lehet hozzáférhetővé kell tenni a rendőri és biztonsági szolgáltatásokat. 

-Ez Kommunikáció adatok még nem fedte fel A pontos weboldal nézett, de jó lenne megmutatni a helyszínen volt kapcsolva. -OKÉ. Tehát nem tárolja a pontos oldalt, csak a honlapon. De ez még mindig egy csomó információt. Például, ha valaki meglátogatott orbitz.com, tudnád voltak gondolkodtam a kirándulás. Ha ők látogatták yahoo.com, akkor lenne tudják, hogy most volt egy stroke- és elfelejtette a "google". És ha meglátogatott vigvoovs.com, akkor tudnád, ők kanos és B gomb nem működik. 

És mégis minden elsöprő hatáskörök a számlát tartalmaz, Brit belügyminiszter Theresa May ragaszkodik ahhoz, hogy a kritikusok fújt ki arányban. 

-Egy Internet kapcsolat rekordot egy nyilván a kommunikációs szolgáltatás hogy egy személy használta, nem a rekord Minden weblap általuk elérhető. Ez egyszerűen a modern megfelelője A tételes telefonszámlát. 

-Igen, De ez nem annyira megnyugtató, mint azt hiszi, hogy van. És azt is megmondom, miért. Először is, nem akarom a kormány néztem telefonhívásokat sem. És másodszor, egy internet böngészési előzmények egy kicsit eltér tételes telefonszámlát. Senki kétségbeesetten törli a telefon számlát minden alkalommal, amikor befejezi a hívást. 

[Lejátszás vége] DAVID MALAN: A mintázat feltörekvő hogy miként készüljek osztályban. Ez csak TV-t nézni egy hétig és mi jön ki, egyértelműen. Szóval, hogy is volt, csak az utolsó este "Múlt héten Tonight." Kezdjük beszélni most néhány a védelmet. Sőt, valami mint ez, ahol a britek azt kezdeményezik, hogy naplót vezet ez a fajta Az adatok, ahol lehet ezt most miért? Nos, visszahívja a PSET hat, PSET hét, és PSET nyolc vállalattal hogy belül ezek a virtuális envelopes-- legalábbis HTTP-- üzenetek, hogy néz ki. És így ezt az üzenetet, Természetesen nem csak a címzett egy adott IP-címet, amely a kormány ide vagy oda bizonnyal jelentkezzen. De még belsejében a borítékot is kifejezett említés a domain név amit most látogatott. És ha ez nem csak perjel, akkor talán valóban egy adott fájl nevét, vagy egy kép vagy film vagy megint semmi érdeke, hogy te is bizonyára elfogott, ha az összes hálózati forgalom valahogy éppen proxyzott a kormányzati szerverek, mint ahogyan ezt már néhány országok, illetve ha Valahogy úgy, ismeretlen vagy nyilvánosságra nem hozott megállapodások, ahogy ez már ebben a ország között egyes nagy players-- Az internetszolgáltatók és a telefon társaságok és Az általam elvártnál és a kormány. 

Annyira vicces story-- utoljára választottam badplace.com le a fejem tetején mint egy példa egy vázlatos honlapon, azt valójában nem állatorvoshoz előre függetlenül attól, hogy valójában vezetett badplace.com. Szerencsére ezen a területen név csak parkolt, és ez valójában nem vezet badplace.com. Tehát mi továbbra is azt használja most. De azt mondták nekem, hogy volna visszaégést nagyon rosszul, hogy az adott napon. 

Kezdjük a mai beszélni mintegy bizonyos védelmet és milyen lyukak vannak Talán még azokban. Tehát jelszavakat a fajta a go-válaszolni a sok védelmi mechanizmusokat, ugye? Csak jelszóval védeni, akkor hogy fogja az ellenfelek ki. De mit is jelent ez valójában? 

Tehát visszahívja a hacker két, vissza, ha kezelni hogy-- amikor meg kellett jelszavak feltörésére egy file-- vagy akár problémát állítsa hét, amikor kapsz egy mintát SQL fájl egyes felhasználóneveket és jelszavakat. Ezek voltak a felhasználónevek látta, és ezek voltak a hash hogy mi elosztott az hacker kiadása problémát meg két. És ha már kíváncsi mindezt időt, amit a tényleges jelszavak, ez az, amit, sőt, úgy visszafejteni, hogy, ami akkor lehetett volna megrepedt PSET két, vagy akkor lehetett volna játékosan gondoltam rájuk végre problémát beállítva hét. Mindegyikük rendelkezik valamilyen remélhetőleg aranyos jelentéssel, vagy a New Haven. 

De az elvihető az, hogy mindegyiket, legalább itt, elég rövid, nagyon kitalálható. Úgy értem, a lista alapján itt, amely talán a legegyszerűbb feltörni, hogy kitaláljuk, írásban szoftver, ami csak találgat, és ellenőrzi, mondanál? Közönség: Jelszó. DAVID MALAN: Jelszó azon nagyon jó, nem? És ez csak-- egyik, hogy nagyon gyakori jelszót. Tény, hogy minden évben van egy lista a leggyakoribb jelszavakat a világon. És idézet, idézet vége "password" általában tetején a listán. Két, ez egy szótárban. És tudod, a probléma meg öt, hogy ez nem hogy hard-- lehet egy kevés idő consuming-- de ez nem is olyan nehéz betölteni egy nagy szótárt memória és utána azt, hogy fajta találgatás és ellenőrzés minden lehetséges szavak szótára. 

Mi más lehet elég könnyen kitalálható, és ellenőrizni? Igen? 

Közönség: Az ismétlődő leveleket. 

DAVID MALAN: Az ismétlés szimbólumok és betűk. Tehát egyfajta fajta. Szóval, fact--, és nem fogunk belemenni nagy részletek here-- összes ilyen volt sózva, amit lehet előhívni probléma állítsa hét dokumentációját. Néhányan közülük különböző sókat. Tehát akkor valóban ne kelljen megismétlése bizonyos karakterek egyszerűen sózással a jelszavakat másképp. 

De a dolgok, mint 12345, ez egy nagyon egyszerű dolog kitalálni. És őszintén szólva, a probléma az összes ilyen jelszavakat az, hogy ezek mind csak használ 26 A lehetséges karakterek, vagy talán 52 Néhány nagybetűs, majd 10 betű. Én nem használ semmilyen funky karakter. Nem használok nullákat O vagy is mert én vagy a L's or-- ha valakinek hiszed, hogy okos, bár, a amely nulla egy O a jelszavát or-- OK, láttam, hogy valaki mosolyt. Szóval valakinek van egy nulla O a saját jelszavát. 

Te éppen nem a okos, mint gondolnád, ugye? Mert, ha több mint egy nekünk is ezt a room-- és én voltam a bűnös ezt well-- Nos, ha mindenki egyfajta ezt, mit jelent az ellenféltől kell tennie? Csak add nullák és egy pár other-- Talán négyes a H's-- az ő arzenálját, és csak helyettesítheti ezeket betűk a szótári szavakat. És ez csak egy kiegészítő hurok, vagy valami ilyesmi. 

Szóval tényleg, a legjobb védelmi jelszavak valami sokkal, de sokkal többet véletlenszerű látszó akkor ezeket. Most, persze, fenyegetések elleni jelszavakat néha tartalmazzák e-maileket, mint ezt. Szóval szó szerint csak kaptam ezt az én postaládájába négy nappal ezelőtt. Ez bretagne, aki látszólag dolgozik harvard.edu. És ő írta nekem, mint egy webmail felhasználó. "Mi csak Észrevettem, hogy az e-mail számlát vagy bejelentkezve egy másik számítógépre egy másik helyre, és te, hogy ellenőrizze a személyes identitás. " 

Tehát tematikus sok e-maileket, mint ez, amely példák a adathalászat attacks-- P-H-I-S-H-I-N-G-- ahol valaki próbál halat, és egy kis információt belőled, Általában egy e-mailt, mint ez. De mi van néhány árulkodó jelek, hogy ez nem, sőt, jogos e-mailt Harvard Egyetem? Az mi? 

Szóval rossz nyelvtan, a fura kapitalizáció, hogy egyes betűk aktivált bizonyos helyeken. Van néhány furcsa behúzás Egy-két helyen. Mi más? Az mi? Nos, ez minden bizonnyal helps-- a nagy sárga mezőben hogy azt mondja, ez lehet a levélszemét A Google, amely minden bizonnyal hasznos. 

Szóval van egy csomó árulkodó jelek itt. De a valóság az, ezeket a e-maileket kell dolgozni, ugye? Ez elég olcsó, ha nem szabad, hogy küldjön több száz vagy ezer e-mailt. És ez nem csak a küldő őket a saját ISP. Az egyik dolog, hogy malware nem általában do-- így a vírusok és férgek, amelyek véletlenül fertőzni vagy számítógépek, mert ők már írta adversaries-- egyik amit tehetnek, csak lemorzsolódás ki a spam. 

Szóval mi van létezik A világ, sőt, olyan dolgok, úgynevezett botnetek, amely divatos módja mondván hogy az emberek jobb kódolás készségek, mint az a személy, aki azt írta, hogy bugos verzió a szoftver, ténylegesen megírt szoftverek hogy az emberek, mint mi gyanútlanul telepíteni a mi számítógépek majd elindulnak mögött A jelenetek, ismeretlenül velünk. És azok a kártékony programok programok összekapcsolva. Azok hálózatot alkotnak, botnet ha úgy tetszik. És általában a legtöbb kifinomultabb ellenfelek van valamilyen távirányítót ezer, ha nem több tízezer, A számítógépek mellett csak küldés egy üzenetet az interneten hogy az összes ilyen botokat, hogy úgy mondjam, képesek hallani, vagy alkalmanként kérésére néhány központi helyén, majd vezérelhető küld ki kéretlen. 

És ezek a spam dolog lehet csak eladta a legmagasabb ajánlatot. Ha egy vállalat vagy egyfajta béren kívüli cég hogy nem igazán törődnek a egyfajta etikai spam a felhasználók de csak azt, hogy ütöttem egy millió ember és remélem, hogy 1% them-- amely még mindig nemtriviális száma A potenciális buyers-- akkor valóban fizetni ezeket ellenfelek a fajta fekete piacon rendezi hogy küldjön ki ezeket a spamek keresztül botnetek az Ön számára. 

Tehát elég annyit mondani, ez nem Egy különösen vonzó e-mailt. De még a Harvard és Yale és hasonlók gyakran hibáznak, az, hogy tudjuk, néhány hét vissza, hogy tudod, hogy a Link mondani www.paypal.com. És úgy néz ki megy oda. De, természetesen, hogy valójában nem tehetem. 

És így Harvard és a Yale és a többiek természetesen követtek az évek során A maileket küldtek ki hogy jogszerű, de azok e bennük. És mi, emberek, voltak által kiképzett fajta a tisztviselők, elég gyakran, hogy valójában csak követni linkeket, hogy kapunk egy e-mailt. De még ez nem a legjobb gyakorlatot. Tehát, ha valaha is E-mail, mint this-- és talán ez Paypal vagy Harvard vagy a Yale vagy a Bank of America vagy az általam elvártnál még mindig nem kattint a linkre, akkor is, ha úgy néz ki, jogos. Meg kell manuálisan arra, hogy URL magát. És őszintén szólva, ez az, amit a rendszergazda kell mondja erre, hogy mi nem becsapott ezt. 

Most, hogy sokan közületek, talán által lenézett a helyed, jelszavakat írt le valahol? Talán egy fiókban a kollégiumi szobában, vagy Talán under-- egy hátizsákban valahol? Pénztárca? Nem? 

Közönség: Egy tűzálló vaskazetta? 

DAVID MALAN: Egy tűzálló vaskazetta? OKÉ. Szóval ez jobb, mint egy ragadós tudomásul a monitort. Tehát minden bizonnyal néhány Ön ragaszkodik nincs. De valami azt súgja, hogy ez nem feltétlenül van így. Szóval mi a helyzet könnyebb, inkább question-- Hányan vagytok használ ugyanazt a jelszót több telek? Ó, oké. Most mi vagyunk, hogy őszinte legyek. 

Minden rendben. Szóval ez csodálatos hír, nem? Mert ha ez azt jelenti, ha csak egy olyan webhelyek minden használ sérül, Most az ellenféltől van hozzáférés több adatot rólad vagy több potenciális hasznosítja. Szóval ez egy könnyű elkerülni. De hányan van csinos kitalálható jelszót? Talán nem olyan rossz, mint ez, de valami? Mert valami hülye helyszínen, igaz? Ez nem nagy kockázatú, Nincsenek hitelkártya? Mindannyiunk. Mint, még nekem is jelszavak valószínűleg csak 12345, biztosan. Tehát most próbálja belépve minden honlap lehet gondolni a malan@harvard.edu és 12345 és nézd meg, hogy működik. 

De mi ezt is. Akkor miért? Miért olyan sok ember rendelkezik sem elég egyszerű jelszavak vagy azonos jelszavakat? Mi a valós Indoklás erre? Ez könnyebb, ugye? Ha azt mondanám inkább, tudományosan, srácok tényleg legyen választotta pseudorandom jelszavak legalább 16 karakter hosszú és kombinációja abc betűk, számok és szimbólumok, ki a fene folyik hogy képes erre, vagy emlékszem ilyen jelszavakat, nemhogy az egyes és minden lehetséges honlap? 

Tehát mi az a járható út? Nos, az egyik a legnagyobb elvitelre ma, Túl, pragmatikusan, lenne lehet, őszintén, hogy indul igénybe valamilyen jelszó igazgató. Most van upsides és árnyoldalai ezeket a dolgokat is. Ez két, hogy mi inkább ajánlom a CS50. Az ember nevű gombra 1Password. Az egyik az úgynevezett LastPass. És néhányan talán használni ezeket már. De ez általában egy szoftver, nak megkönnyítése generáló nagy pseudorandom jelszavak nem esetleg emlékezni, mint egy emberi. Ez tárolja e áivéietien jelszavakat saját adatbázisában, remélhetőleg a helyi merevlemezen drive-- titkosított, még jobb. És minden, amit az ember, meg kell emlékezni, Jellemzően egy mester jelszót, amely Valószínűleg lesz nagyon hosszú. És talán nem véletlen karaktereknek. Talán ez, mint egy mondat vagy rövid bekezdés, amire emlékszik beírhatja naponta egyszer kinyit a számítógépet. 

Tehát használ egy különösen nagy jelszóval védeni, és titkosítja az összes többi jelszót. De most te vagy a szokással szoftver mint ez generál pszeudo- jelszavakat minden a weboldalak látogat. És valóban, én is kényelmesen mondani most, 2015-ben, Nem tudom, hogy a legtöbb jelszavaim többé. Tudom, hogy a mester jelszót, és én írja, hogy tudtukon kívül, egy vagy több alkalommal naponta. De a fejjel, hogy most, ha van ilyen Az én egyik számlák sérül, nincs mód valaki fogja használni, hogy figyelembe bejutni egy másik, mert egyik sem én jelszavak azonosak többé. 

És természetesen, senki, még ha vagy ő írja ellenséges szoftverek a brute force dolgokat, és Szerintem az összes lehetséges passwords-- az esélye, hogy fognak választom meg a 24 karakter hosszú jelszó csak annyira, de annyira alacsony Csak nem vagyok aggódnak, hogy fenyegetést többé. 

Szóval mi a trade-off itt? Úgy tűnik, ez csodálatos. Annyira sokkal biztonságos. Mi a kompromisszum? Igen? 

Közönség: Idő. DAVID MALAN: Idő. Ez sokkal könnyebb írja 12345 és vagyok bejelentkezve A versus valamit, ami 24 karakter hosszú, illetve rövid bekezdés. Mi más? 

Közönség: Ha valaki betör a mester jelszót. DAVID MALAN: Igen. Szóval egyfajta változó A fenyegetés forgatókönyv. Ha valaki kitalálja, vagy a számok ki vagy elolvassa a Post-It a biztonságos fájl boltozat, A fő jelszó van, Most mindent veszélybe kerül ahol korábban ez volt, talán csak egy számla. Mi más? 

Közönség: Ha a használni kívánt bármely a fiókok egy másik eszközön és akkor nem kell LastPass [hallhatatlan]. 

DAVID MALAN: Igen, ez az fajta fogás is. Ezekkel az eszközökkel is, ha Önnek nem kell a számítógép és te, mint néhány kávézó vagy te egy barátja házában, vagy számítógépes laborban vagy bárhol, és azt szeretnénk, hogy jelentkezzen be a Facebook, nem is tudom, mit Facebook jelszó. Most néha, akkor enyhítésére ezt azáltal, hogy egy oldat hogy fogunk beszélni, egy pillanat úgynevezett kéttényezős hitelesítés ahol a Facebook lesz a szövegre, vagy küld egy speciális titkosított üzenet a telefonra, vagy más eszköz, amit hordoz körül a kulcstartó amely be tud jelentkezni. De ez talán bosszantó, ha Az alagsorban a tudományos központ vagy máshol van a New Haven-campus. Lehet, hogy nincs jel. És így ez nem feltétlenül megoldást. Szóval ez tényleg egy trade-off. De mi azt javasoljuk, hogy do-- ha elmész CS50 honlapján, mi valójában elintézte az első ezek a vállalatok számára egyedi engedéllyel, hogy úgy mondjam, minden CS50 diákok így nem kell fizetni a 30 $ vagy úgy általában költség. Mac és a Windows, akkor nézd meg 1Password ingyenesen CS50 honlapján, és mi kampó téged, hogy. 

Észre is, hogy néhány Ezek tools-- beleértve LastPass annak egyik forms-- jelentése felhő-alapú, a Colbert mondja, ami azt jelenti, jelszavait vannak encryptedly tárolja a felhő. Az ötlet van, hogy mehetsz néhány véletlenszerű személy vagy barátja számítógépén és be kell jelentkeznie a Facebook fiók vagy hasonlók mert először megy lastpass.com, elérheti a jelszavát, majd írja be. De mi van a fenyegetés forgatókönyv létezik? Ha tárolására dolgokat a felhő, és máris elérésével, hogy weboldalán egy ismeretlen számítógépes, mi lehet a barátod csinál Önnek vagy a billentyűleütéseket? OKÉ. Én leszek kézzel előrenyomuló csúszik Innen ki. 

Keylogger, ugye? Egy másik típusú malware egy keylogger, amely csak egy program, amely ténylegesen naplózza a beírt. Tehát ott is, akkor talán jobb, ha Van néhány másodlagos eszközként, mint ez. 

Tehát mi a kéttényezős hitelesítést? Ahogy a neve is sugallja, ez van nem egy, hanem két tényező, amellyel hitelesíteni a honlapon. Tehát ahelyett, felhasználása csak a jelszó, Van néhány más második tényező. Most, hogy általában, egy, tényező az, amit tudni. Tehát valami fajta a a lelki szemei ​​előtt, amely jelszó, amely már megjegyzett. De két, nem valami más hogy tudod, vagy megjegyzett de valami fizikailag van. Az ötlet, hogy a veszély már nem lehet néhány véletlenszerű személy az interneten, akik egyszerűen csak Gondolom, vagy kitalálni a jelszót. Ő is, hogy a fizikai hozzáférés valamit, hogy van, amely még mindig lehetséges és még talán, annál is inkább fizikailag fenyegető. De ez legalább egy másfajta veszélyt. Ez nem egy millió névtelen emberek ott próbál eljutni az adatokat. Most ez egy nagyon konkrét személy, talán, hogy ha ez olyan kérdés, ami Egy másik probléma teljesen, is. 

Annak érdekében, hogy általában létezik A telefonok vagy egyéb készülékek. És valóban, a Yale csak hengerelt ezt ki félévközi ilyen hogy ez nem befolyásolja emberek ebben a szobában. De azoknak, következő mentén New Havenben tudjuk, hogy ha azt jelentkezni be a yale.net ID, amellett, hogy beírja a felhasználói nevet és a jelszót, te aztán kéri ezzel. És például, ez egy screenshot vettem ma reggel amikor bejelentkezett az én Yale venni. És elküldi nekem az egyenértékű A szöveges üzenetet a telefon. De a valóságban, letöltöttem egy app előre, hogy a Yale már forgalmaz, és azt kell már csak írja be a kód, amely küldenek a telefonra. 

De ahhoz, hogy világos legyen, a fejjel az, hogy most, akkor is, ha valaki kitalálja én Yale jelszót, biztonságban vagyok. Ez nem elég. Ez csak egy kulcs, de én kell két feloldásához számlám. De mi a hátránya, talán a Yale-rendszer? És értesíteni fogjuk Yale tudom. Mi a hátránya? Az mi? Ha nem sejtes szolgáltatás vagy ha Nem kell a Wi-Fi hozzáférés, mert te Csak egy pincében vagy valami, akkor Lehet, hogy nem lehet tudni, hogy az üzenet. Szerencsére, ebben a konkrét esetben, ezt fogja használni a Wi-Fi, vagy valami más, ami működik körül. De egy lehetséges forgatókönyv. Mi más? Elveszítheti a telefont. Csak nem volna ez. Az akkumulátor meghal. Úgy értem, van egy szám bosszantó forgatókönyvek de lehetséges forgatókönyv, ami történhet hogy neked megbánni ezt a döntést. És a lehető legrosszabb kimenetelét, őszintén szólva, akkor lenne a felhasználók számára, hogy letiltja ezt teljesen. Így mindig megy hogy ezt a feszültséget. És meg kell találni magadnak felhasználóként egyfajta édes hely. És hogy ezt, hogy pár A konkrét javaslatokat. Ha a Google a Gmail vagy a Google Apps, tudom, hogy ha megy, erre az URL itt, engedélyezheti a kéttényezős hitelesítés. Google nevezi 2 kétlépcsős azonosítást. És akkor kattintson a Beállítás, és akkor pontosan erre. Ez egy jó dolog, különösen ezekben a napokban, mert, hála a cookie-kat, Ön bejelentkezett szinte egész nap. Szóval ritkán kell írja be a jelszót egyébként. Szóval lehet, hogy ezt egyszer egy héten, havonta egyszer, naponta egyszer, és ez kevesebb, egy nagy foglalkozik, mint a múltban. 

Facebook is van ez. Ha egy kicsit túl laza a gépelés Facebook jelszót barátok " számítógépek, legalább lehetővé kéttényezős hitelesítés így, hogy barátja, akkor is, ha ő van Egy gombnyomás logger, nem tudnak bejutni fiókjába. Nos, miért van ez? Nem sikerült, csak jelentkezzen a kódot, amit beírtam a telefont hogy a Facebook küldött nekem? Közönség: [hallható]. DAVID MALAN: Igen. A jól megtervezett szoftver megváltoztatja azokat a kódokat küldött a telefonjára néhány másodpercenként minden alkalommal és így, igen, még ha ő kitalálja mi a kód, te még mindig biztonságos, mert lejár. És ez az, ami úgy néz ki, Szeretem a Facebook honlapján. 

De van egy másik megközelítés teljesen. Tehát, ha az ilyen jellegű kompromisszumok nem különösen vonzó, Általános elv biztonsági lenne lehet, nos, csak legalább audit dolgokat. Ne fajta fel a fejét a homok és sohasem tudhatod, ha és amikor akkor már veszélybe, vagy megtámadták. Legalább létre valamilyen mechanizmus hogy tájékoztatja Önt azonnal ha valami rendellenes történt úgy, hogy legalább keskeny Az idő-ablak alatt amikor valaki tehet kárt. 

És ez, mármint a following-- A Facebook például akkor kapcsolja be, milyen hívnak bejelentkezés riasztásokat. És most, én engedélyezte az e-mail Bejelentkezés riasztások de nem értesítéseket. És mit jelent az, hogy ha a Facebook értesítések Már bejelentkezett egy új computer-- mintha nem is egy sütit, ez egy másik IP-címet, akkor egy más típusú computer-- akkor, ebben a forgatókönyvben, küldjön nekem egy e-mailt mondván, hé, David. Úgy tűnik bejelentkezve egy ismeretlen számítógép, csak FYI. 

És most számlám lehet sérül, vagy az én idegesítő barátom Lehet, hogy bejelentkezik számlám most kiküldetés dolgok én híroldalak és hasonlók. De legalább azt az időt általam tudatlan, hogy szuper, szuper keskeny. És azt is remélem válaszolni. Tehát mind a három, megtenném mondjuk, nagyon jó dolgokat csinálni. Melyek fenyegetések hogy egy kicsit nehezebb Számunkra végfelhasználók ellen védő? Tudja valaki, mi ülésen eltérítéssel? Ez inkább technikai fenyegetést, de nagyon ismerős Most, hogy kész PSET hat és hét és most nyolc. Szóval emlékszem, hogy amikor elküldi a forgalom az interneten, egy pár dolog történik. Hadd menjen előre, és jelentkezzen be C9 vagy CS50.io. Hol csak egy pillanatra, hogy jelentkezzen be én jHarvard venni. 

Közönség: Mi a jelszavát. 

DAVID MALAN: 12345. Minden rendben. És itt, tudom, hogy ha elmegyek előre, és kérjen egy web page-- és közben, hadd tegye ezt. Hadd nyissa meg a Chrome Inspector fülre, és én a hálózati forgalmat. És hadd menjen http://facebook.com és törölheti. Igazából, tudod mit? Menjünk egy ismerős one-- https://finance.cs50.net és kattintson az Enter és jelentkezzen be a hálózati forgalom itt. 

Tehát itt megjegyezni, ha megnézem az én hálózati forgalmat, válasz headers-- menjünk fel ide. Válasz headers-- itt. Tehát a legelső kérés, hogy én elküldött, amely az alapértelmezett oldalt, ez reagált Ezek válasz fejlécet. És beszéltünk dolgok, mint a helyét. Mint, helyét jelenti átirányítani login.php. De egy dolog nem beszélgettünk egy hatalmas összege mintegy volt hasonló sor. Tehát ez belsejét virtuális borítékot, ami küldött CS50 Finance-- A verzió srácok azt írta, too-- a felhasználó laptop vagy asztali számítógép. És ez beállít egy sütit. De mi az a süti? Gondolj vissza a vita a PHP. Igen? Igen, ez egy mód, amely a honlapján, hogy még mindig bejelentkezve. De hogyan működik ez? Nos, meglátogatásakor finance.cs50.net, Úgy látszik a szerver hogy mi végre van tűzve sütit. És, hogy cookie hagyományosan hívja PHPSESSID session ID. És akkor gondolok rá, mint egy virtuális handstamp egy klubban vagy, mint, egy vidámpark, egy kis darab A vörös tintával, hogy megy a kezeden úgy, hogy a következő alkalommal, amikor látogasson el kapu, akkor egyszerűen azt mutatják, a kezed, és a kidobóember az ajtón, akkor ismét át, vagy egyáltalán nem alapul ezt a bélyeget. 

Így a későbbi kéri, hogy a böngészőm sends-- ha elmegyek a következő kérés és akkor nézd meg a kérés fejlécet, észre fogod venni, több dolgot. De a legfontosabb az, ez kiemelt része here-- nincs beállítva süti, de sütit. És ha Átlapozom mindenki Az említett későbbi HTTP kérések, Minden alkalommal, amikor azt látni a kezét tovább hígítjuk, hogy pontosan ugyanolyan PHPSESSID, ami azt ez a mechanism-- ez a nagy pseudorandom number--, hogy a szerver használ fenntartani az illúziót PHP $ _SESSION tárgy, amelybe tárolhatja a dolgok, mint a felhasználói azonosító vagy mi van a kosárban, vagy akárhány más darab adatokat. 

Szóval mi a következménye? Nos, mi van, ha adatok nem titkosított? És valóban, mi a legjobb gyakorlatot titkosítani elég sok minden egy CS50 weboldalain ezekben a napokban. De ez nagyon gyakori ezekben nap honlapok még hogy nem HTTPS at megkezdődik az URL-t. Ők csak HTTP, vastagbél, perjel perjel. Szóval mi a következménye van? Ez egyszerűen azt jelenti, hogy az összes ilyen fejlécek belsejében a virtuális borítékot. És aki szimatol a levegőben, vagy fizikailag elfogja a csomag fizikailag belenézel és látni hogy mi süti. 

És így munkamenet- egyszerűen egy technika hogy egy támadó használ szippantás adatok a levegőben, vagy egyes vezetékes hálózat, belenézel e borítékot, és látni, oh. Látom, hogy a cookie- van 2kleu bármi. Hadd menjek előre, és a egy példányát a kezed bélyegző és most indul meglátogatta Facebook vagy a Gmail vagy bármi magam és csak bemutatni a pontosan ugyanazt handstamp. És a valóság az, böngészők és szerverek tényleg ennyire naiv. Ha a szerver látja, hogy ugyanazt süti, az a célja az életben kell, hogy mondjam, ó, hogy legyen Dávid, aki csak bejelentkezett egy kicsit ezelőtt. Hadd mutassam ugyanez felhasználó, feltehetően, David postaládájába vagy a Facebook üzenetek vagy bármi mást amelybe a jelentkezned. 

És az egyetlen védelem ellen hogy az, hogy csak titkosítani minden benne a borítékban. És szerencsére, egy csomó helyek tetszik Facebook és a Google és hasonlók csinálnak, hogy napjainkban. De olyan, hogy nem hagyom Tökéletesen, tökéletesen kiszolgáltatott. És az egyik dolog, amit do-- és az egyik szép képességgel, őszintén szólva, A 1Password, a szoftver Azt már korábban említettem, az, ha telepítjük a Mac vagy PC, a szoftver, mellett tárolja a jelszavak, továbbá figyelmeztetni, ha valaha is megpróbál belép egy honlap, ami lesz a felhasználónevet és a jelszó nem titkosított és a tiszta, hogy úgy mondjam. Minden rendben. Tehát munkamenet-csapódik le, hogy. De itt van ez a többi hogy HTTP fejlécek lehet használni, hogy kihasználják a számunkra. És ez még mindig egyfajta kérdés. Ez tényleg csak egy imádnivaló Bocsásson beletörődik Cookie Monster itt. De Verizon és az AT & T és a mások vette Sok támadást Néhány hónappal ezelőtt az intravénás, ismeretlenül felhasználók kezdetben, extra HTTP fejléc. 

Tehát azok, akik Verizon Wireless és az AT & T-sejt telefonok, és akkor már meglátogatta weboldalak a telefonra, tudtán kívül van, miután a HTTP kéri hagyja Chrome vagy Safari vagy bármi a telefonon, megy Verizon vagy AT & T router, ezek elbizakodottságból egy ideje már intravénás fejlécet, hogy néz ki mint this-- egy kulcs-érték párt, ahol A kulcs csak az X-UIDH A egyedi azonosító header majd néhány nagy véletlen érték. És Erre azért hogy azok egyedileg azonosítani az összes webes forgalom az emberek megkapták a HTTP kérés. 

Nos, miért akar a Verizon és az AT & T és a hasonló szeretnénk, hogy egyedileg azonosítja a felhasználót a összes webhely meglátogatott? 

Közönség: Jobb ügyfélszolgálat. 

DAVID MALAN: Better-- nincs. Ez egy jó gondolat, de ez nem az ügyfelek jobb kiszolgálásához. Mi más? Reklám, ugye? Így lehet felépíteni egy hirdetési hálózat, feltehetően, ahol akkor is, ha kikapcsolta a cookie-kat, akkor is, ha speciális a telefon szoftverének hogy tart inkognitó mode-- ha. Nincs inkognitó módban, amikor a férfi a middle-- szó, a Verizon vagy AT & T-- adja be az injekciót További adatok, amelyek felett Önnek nincs kontroll, ezáltal feltárva kik vagytok erre kapott honlapján újra és újra. 

Tehát vannak olyan módon, hogy kilépjen ebből. De itt is, van valami, hogy őszintén, az egyetlen módja, hogy álljon vissza erre az, hogy hagyja A fuvarozó összesen, tiltsa le ha még lehetővé teszi, hogy, vagy, ahogy történt ebben az esetben, hogy egy kicsit a felhajtás például online hogy a vállalatok valóban reagálni. Ez is csak egy újabb imádnivaló lehetőséget kell mutatnia. 

És vessünk egy pillantást, hadd azt mondják, egy-két utolsó fenyegetéseket. Szóval beszélgettünk CS50 pénzügyek itt. Szóval, észre fogod venni, hogy van ez aranyos kis ikon a belépés gomb itt. Mit jelent az, ha helyett használja ezt az ikont? Így előtt, után. Előtte utána. Mit után jelent? Ez biztonságos. Ez az, amit szeretném, ha úgy gondolja. De ironikusan, ez biztos mert mi van HTTPS. 

De ez milyen egyszerű, változtatni valamit a honlapon, igaz? Mindannyian tudják, egy kicsit a HTML és CSS most. És valóban, ez elég egyszerű alábbiakra: és ha Nem csináltam it-- változtatni az ikont. De ez is az, ami cégek tanított nekünk. Tehát itt egy screenshot a Bank Amerika honlapján ma reggel. És észre, az egyik, ők Megnyugtató számomra, hogy ennyi A biztonságos belépés a bal felső sarokban. És ők is lakat ikon a gombra, ami azt jelenti, hogy mit kell nekem, a végfelhasználó? 

Valóban semmi, ugye? Ami számít, az a tény hogy ott van a nagy zöld URL fel tetején HTTPS. De ha ráközelít ez, csak mint én, tudva, egy kis HTML és egy kicsit a CSS, és azt mondja, hé, én honlap biztonságos. Mint bárki tud egy lakattal és a szót biztonságos bejelentkezést rá a honlapjukon. És ez valóban nem jelent semmit. Mit jelent valamit valami ilyesmi, ahol azt látod, https: //, hogy Bank of America rendelkezik ezzel nagy zöld sáv, mivel CS50 nem, csak azt jelenti, hogy fizetett több száz dollárral többet, hogy további ellenőrzést végzett a domain- az USA-ban, hogy a böngészők, akik betartják E szabvány is megmutatja nekünk egy kicsit több annál. 

Így fogjuk hagyni a dolgokat, hogy megijeszteni egy kicsit, mielőtt hosszú. De szerdán, fogunk csatlakozott Scaz A Yale egy pillantást mesterséges intelligencia és mit tehetünk ezekkel a gépekkel. Látni fogjuk legközelebb.