[MUSIC SPILLE] DAVID MALAN: Dette er CS50, og Dette er starten på uke 10. Og du husker kanskje dette bilde fra et par uker tilbake når vi snakket om Internett og hvordan det er faktisk implementert fysisk. Og du kan huske at det er faktisk en hel haug av kabler samt trådløst teknologier som interconnect alle nodene eller rutere og annet slike teknologier på internett. Og mye av det er underseas. Vel, det viser seg at de underseas kabler er litt av et mål. Og dagens forelesning er helt om sikkerhet, ikke bare truslene som vi alle står overfor fysisk, men også praktisk talt, og også, mot bakparten dag, noen av forsvar at vi som brukere kan faktisk satt på plass. Men først en av de første og kanskje mest fysisk threat-- [VIDEO PLAYBACK] -Kan Russland være planlegging et angrep på undersjøiske kabler som kobler global internett? -Russian Skip og ubåter lurking nærheten undersjøiske kabler som bærer nesten alle av verdens internett. -Det Hele internett er gjennomført sammen disse kablene. -Første Av alt, hva er Internett gjør undervanns? Sist gang jeg sjekket, er jeg ikke ment for å få min datamaskin våt. For det andre, hvis du spør meg hvordan internett reiser fra kontinent til kontinent, Jeg ville har sagt satellitter eller lasere, eller, ærlig, Jeg ville trolig ha sa bare internett. Og hva skjedde med skyen? Jeg ble fortalt at det var en sky. Huske? Hei, la oss sette det i skyen. Det var som Internett var en damp av informasjon som sirkler Earth, og datamaskinen var som en sleiv som øses ut hva du trenger. Men det viser seg internett er faktisk under vann fordi disse kablene bære mer enn 95% av daglige kommunikasjon over internett. Og amerikanske etterretnings bekymringer som i tider med spenning eller konflikt, Russland kan ty til severing dem. Det ville være den største avbrudd til Internett-tjenesten siden ovenpå nabo sette et passord på sin Wi-Fi. OK? Prøv hunden hans navn. [END PLAYBACK] DAVID MALAN: Før vi slår nå til noen av de flere virtuelle trusler, et par kunngjøringer. Så våre venner en CrimsonEMS er for tiden rekruttering til nye EMTs, Akuttmedisinske teknikere. Og dette er faktisk noe spesielt nær til mitt hjerte. For lenge siden, jeg Husk å være i en Ikea kort tid etter endt utdanning, faktisk. Og som jeg var spennende butikken, dette liten gutt som var i en barnevogn begynte å slå bokstavelig blå. Og han ble kvalt på noen stykke mat som hadde antagelig fått fast i halsen. Og hans mor ble panikk. Foreldrene rundt dem ble panikk. Og selv jeg, som hadde litt av fortrolighet med EMS bare ved hjelp av venner, helt frøs. Og det var bare takket være noe som en 15-åring badevakt som kjørte over og faktisk visste hva de skal gjør instinktivt og ringte etter hjelp og faktisk trakk Gutten ut av hans barnevogn og faktisk adressert situasjonen. Og for meg, som var et vendepunkt. Og det var det øyeblikket i tid hvor jeg bestemte meg, for faen, Jeg må ha min handling sammen og faktisk vet hvordan å svare på disse slags situasjoner. Og så jeg selv fikk lisensiert år siden som en EMT. Og gjennom gradsstudier jeg ri på MITs ambulanse for en viss periode, så vel som har holdt opp min lisens siden. Og faktisk, til denne dag, alt av CS50 ansatte her i Cambridge faktisk er sertifisert i HLR, i tillegg, av lignende årsaker. Så hvis du er i det hele tatt interessert i dette, er det aldri kommer til å være nok tid i dagen for å ta på seg noe nytt. Men hvis du vil ha et nyttårs oppløsning, trenger bli med disse gutta her eller vurdere å nå ut til Røde Kors for sertifisering, her eller i New Haven, så vel. Så CS50 siste lunsj er denne fredagen. Så hvis du ennå ikke har sluttet seg til oss, eller hvis du har, og du vil ha en mer tid, gå på CS50 hjemmeside for å fylle ut skjemaet der. Vet også at våre venner i Yale, professor Scassellati, har produsert en AI, kunstig intelligens, serie for oss som vil begynne å debut denne uken på video. Så spesielt hvis du er interessert i å forfølge et avsluttende prosjekt eller annen måte relatert til kunstig intelligens, naturlig språk prosessering, selv robotikk, skjønner at disse vil være en fantastisk inspirasjon for det. Og bare for å gi deg en teaser av dette, her er Scaz selv. [VIDEO PLAYBACK] -En Av de virkelig store ting om informatikk er det med enda bare noen uker med studien, du kommer til å være i stand til å forstå mange av de intelligente gjenstander og enheter som befolker vår moderne verden. I denne korte videoen serien, vi kommer til å se på ting som hvordan Netflix er i stand å foreslå og anbefale filmer at jeg kanskje liker, hvordan det er at Siri kan svare på spørsmål som jeg har, hvordan det er at Facebook kan gjenkjenne ansiktet mitt og automatisk tagge meg i et fotografi, eller hvordan Google er i stand til å bygge en bil som kjører på egen hånd. Så jeg håper du vil bli med meg for denne korte rekke videoer, den CS50 AI serien. Jeg tror du vil finne at du vet mye mer enn du trodde du gjorde. [END PLAYBACK] DAVID MALAN: Så de vil vises på kursets hjemmeside senere denne uken. Følg med. Og i mellomtiden, noen kunngjøringer om hva som ligger foran oss. Så vi er her. Dette er i våre foredrag om sikkerhet. Førstkommende onsdag, Scaz og Andy, vårt hode undervisning stipendiat i New Haven, vil være her for å se på kunstig intelligens selv for en titt på beregning for communication-- hvordan å bygge systemer som bruker språk for å kommunisere fra ELIZA, hvis du er kjent med dette programvare fra en svunnen tid, til Siri mer nylig, og til Watson, som du kanskje kjenner fra Jeopardy eller lignende. Så neste mandag, vi er ikke her i Cambridge. Vi er i New Haven for en andre ser på kunstig intelligens med Scaz og company-- AI motstandere i spill. Så hvis du noen gang har spilt mot datamaskinen i noen videospill eller mobile spill eller lignende, vil vi snakke om akkurat at-- hvordan å bygge motstandere for spill, hvordan å representere ting under panseret bruke trær fra spill som tic-tac-toe til sjakk til selve moderne videospill, så vel. Dessverre er quiz man kort tid etterpå. Flere detaljer om det på CS50 s nettsiden senere denne uken. Og vår siste forelesning ved Yale vil være at fredag ​​etter quizen. Og vår siste foredrag på Harvard vil være mandag etterpå, av natur planlegging. Og så i form av milepæler, foruten PSet åtte ut denne uken; statusrapporten, som vil være en rask tilregnelighet sjekk mellom deg og undervisningen stipendiat; den hackathon, som vil være her i Cambridge for studenter fra New Haven og Cambridge likt. Vi vil ta vare på alt transport fra New Haven. Gjennomføringen av endelige prosjektet vil påløpe. Og så for begge studiesteder vil det være en CS50 rettferdig som tillater oss å ta en titt på og glede i hva alle har oppnådd. Faktisk, jeg trodde dette ville være en god øyeblikk å trekke oppmerksomhet til denne enheten her, som vi har brukt for litt tid her, som er en fin touch screen. Og faktisk, sist I år hadde vi en $ 0,99 app som vi lastet ned fra Windows-app lagre for å tegne på skjermen. Men ærlig talt, det var veldig rotete. Det gir oss muligheten til å trekke på skjerm, men det var, som, en masse ikoner opp her. Brukergrensesnittet var ganske ille. Hvis du ønsket å endre visse innstillinger, det var bare så mange jævla klikk. Og brukeren interface-- eller, mer riktig, brukeren erfaring-- var ganske suboptimal, spesielt å bruke det i et foredrag miljø. Og så vi nådde ut til en venn av oss hos Microsoft, Bjørn, som er faktisk vært følgende sammen med CS50 online. Og som hans siste prosjekt, hovedsak, gjorde han svært graciously ta noen innspill fra oss som til nøyaktig funksjonene og brukeropplevelsen vi vil. Og han deretter gikk på å bygge for Windows dette programmet her som tillater oss å draw-- oops-- og stave på the-- wow. Takk. Å tegne og stave på denne skjermen her med minimal brukergrensesnittet. Så du har sett meg, kanskje, trykke opp her aldri så litt der nå vi kan understreke ting i rødt. Vi kan veksle og nå gå til hvit tekst her. Hvis vi ønsker å faktisk slette skjermen, kan vi gjøre dette. Og hvis vi faktisk foretrekker en hvite lerret, kan vi gjøre det. Så det gjør så fryktelig lite av design og gjør det godt. Slik at jeg klusse, forhåpentligvis, langt mindre i år i klassen. Og takk også til en protesjé av hans jeg bruker i dag en liten ring. Dette er Benjamin, som var inter med Bjørn i sommer. Så det er en liten ring. Det er litt større enn min vanlige ringen. Men via en liten ringe på siden her kan jeg faktisk flytte lysbildene til venstre og høyre, fremover og tilbake, og faktisk fremme ting trådløst slik at man, jeg har ikke å holde tilbake over til space her. Og to, jeg trenger ikke å ha en av de dumme clickers og opptar meg i hånden ved å holde den jævla ting hele tiden for å bare klikke. Og sikkert, i tid, vil maskinvaren som dette får super, super mindre. Så absolutt, ikke nøl å tenke utenfor boksen og gjøre ting og skape ting som ikke engang eksisterer ennå for siste prosjekter. Uten videre om og men, en titt på hva som venter som du dykke inn i den endelige prosjekter ved CS50 hackathon [VIDEO PLAYBACK] [MUSIC SPILLE] [Snorking] [END PLAYBACK] DAVID MALAN: All right. Så Stephen Colbert klippet som jeg viste bare et øyeblikk siden var faktisk på TV bare noen få dager siden. Og faktisk, et par av de andre klipp vi viser i dag er utrolig nylig. Og faktisk, taler til at realitet at så mye av teknologien og, ærlig, mye av ideene vi har snakket om i CS50 egentlig er allestedsnærværende. Og en av de målene kurset er sikkert å utstyre deg med tekniske ferdigheter så at du faktisk kan løse problemer programmatisk, men to, slik at du faktisk kan ta bedre beslutninger og ta informerte beslutninger. Og, faktisk, tematisk hele trykk og online videoer og artikler disse dager er bare en skremmende misforståelser eller mangel på forståelse av hvordan teknologi fungerer, spesielt blant politikere. Og så sannelig, i bare litt vil vi ta en titt på en av disse detaljene, også. Men bokstavelig talt bare vare natt ble jeg sittende i Bertuccis, en lokal tjen italiensk sted. Og jeg hoppet på sine Wi-Fi. Og jeg ble veldig beroliget å se at det er trygt. Og jeg visste at fordi det står her "Secure Internet Portal" når skjermen kom opp. Så dette var litt rask som kommer opp i Mac OS eller i Windows når du kobler til en Wi-Fi-nettverk for første gang. Og jeg måtte lese gjennom sine vilkår og forhold og til slutt klikker OK. Og så fikk jeg lov til å fortsette. Så la oss begynne å tenke gjennom hva alle dette betyr og å ikke lenger ta for gitt hva folk forteller oss når vi møte det med ulike teknologi. Så en, hva betyr det at Dette er en sikker nettportal? Hva kunne Bertucci være betryggende meg? PUBLIKUM: Pakkene sendes frem og tilbake er kryptert. DAVID MALAN: Good. Pakkene som sendes tilbake frem og tilbake er kryptert. Er det faktisk tilfelle? Hvis det var tilfelle, hva ville jeg har å gjøre eller hva jeg ville ha å vite? Vel, vil du se en liten hengelås-ikonet i Mac OS eller i Windows sier at det er faktisk noen kryptering eller scrambling skjer. Men før du kan bruke en kryptert portal eller Wi-Fi-tilkobling, hva har du som regel skrive inn? Et passord. Jeg kjenner ingen slike passord, og heller jeg skriver noe slikt passord. Jeg bare klikket OK. Så dette er helt meningsløst. Dette er ikke en sikker nettportal. Dette er en 100% usikker internett portal. Det er absolutt ingen kryptering kommer på, og alt som er å gjøre det sikre er at tre-ord setning på skjermen der. Så det betyr ingenting, nødvendigvis, teknologisk. Og litt mer betenkelig, hvis du faktisk lese gjennom vilkårene, som er overraskende å lese, var dette-- "du forstå at vi forbeholder retten til å logge eller overvåke trafikken til sikrer disse vilkårene blir fulgt. " Så det er litt skummel, hvis Bertucci er å se på min internett-trafikk. Men de fleste enhver avtale som du har blindt klikket seg gjennom har sikkert sagt det før. Så hva gjør det egentlig mener teknologisk? Så hvis det er noen skumle fyr eller kvinne i ryggen hvem er, som, overvåking all internett-trafikk, hvordan han eller hun tilgang denne informasjonen nøyaktig? Hva er den teknologiske betyr via som at person-- eller motstander, flere generally-- kan være å se på vår trafikk? Vel, hvis det er ingen kryptering, hva slags ting de kunne snuse, så å si, liksom oppdage i luften. Hva vil du se på? Yeah? PUBLIKUM: Pakkene blir sendt fra datamaskinen til ruteren? DAVID MALAN: Yeah. Pakkene som sendes fra datamaskinen til ruteren. Så du kanskje husker når vi var i New Haven, vi passerte disse konvoluttene, fysisk, hele publikum til å representere data går gjennom internett. Og sikkert, hvis vi var å kaste dem gjennom publikum trådløst å nå sine mål, kan hvem som helst liksom ta tak i det og lage en kopi av det og faktisk se hva som er innsiden av konvolutten. Og, selvfølgelig, hva er innsiden av disse konvoluttene er en rekke ting, inkludert IP-adressen at du prøver å tilgang eller vertsnavnet, som www.harvard.edu eller yale.edu at du prøver for å få tilgang til eller noe helt annet. Videre banen, også-- du kjenner fra PSet seks som innsiden av HTTP-forespørsler er få slash something.html. Så hvis du besøker en bestemt side, nedlasting av et bestemt bilde eller video, all denne informasjonen er på innsiden av den pakke. Og så noen der i Bertucci boks være å se på den samme informasjonen. Vel, hva er noen andre trusler langs disse linjene å være oppmerksom på før du bare begynne å akseptere som faktum hva noen liker Bertuccis bare forteller deg? Vel, dette var en article-- en serie artikler som kom ut bare noen få måneder tilbake. Alle raseri i disse dager er disse nymotens smart-TV. Hva er en smart TV, hvis du har hørt om dem eller har en hjemme? PUBLIKUM: Internett-tilkobling? DAVID MALAN: Ja, Internett-tilkobling. Så generelt, er en smart TV en TV med Internett-tilkobling og en virkelig crappy bruker grensesnitt som gjør det vanskeligere å faktisk bruke nettet fordi du må bruke, som, opp, ned, til venstre og til høyre eller noe på fjernkontrollen bare å få tilgang til ting som er så mye lettere gjort på en laptop. Men mer bekymringsfullt om en smart-TV, og Samsung TV-er i dette tilfellet, var at Samsung TV-er og andre disse dager kommer med visse hardware å skape det de hevder er en bedre brukergrensesnitt for deg. Så en, kan du snakke med noen av dine TV i disse dager, ikke ulikt Siri eller en hvilken som helst av andre ekvivalenter på mobiltelefoner. Så du kan si kommandoer, som endring kanal, øke volumet, slå av, eller lignende. Men hva er implikasjonen av det logisk? Hvis du har fått TV i stua rom eller TV ved foten av sengen å sovne til, hva er konsekvensen? Yeah? PUBLIKUM: Det kan være noe går inn gjennom mekanismen å oppdage din tale. DAVID MALAN: Yeah. PUBLIKUM: Det kunne sendes via internett. Hvis det er ukryptert, så er det sårbart. DAVID MALAN: Ja. Hvis du har en mikrofon inne til en TV og dens formål i livet er, ved design, for å lytte til deg og svare deg, Det er sikkert kommer til å være lytte til alt du sier og deretter oversette det til noen innebygde instruksjoner. Men fangsten er at de fleste av disse TV-er er ikke helt smart selv. De er veldig avhengig av at internettforbindelse. Så mye som Siri, når du snakker i telefonen, raskt sender som data på tvers Internett til Apples servere, deretter kommer tilbake en respons, bokstavelig talt er Samsung TV og ekvivalenter bare sende alt du er sier i din egen stue eller soverommet til sine servere bare for å oppdage sa han, slå på TV eller slå av TV? Og Gud vet hva andre kan bli ytret. Nå er det noen måter å redusere dette, ikke sant? Som hva gjør Siri og hva gjør Google og andre gjør for å forsvare seg mot minst at risikoen for at de er lytter til absolutt alt? Det må være aktivert ved å si noe som, hei, Siri, eller hi Google eller lignende eller OK, Google eller lignende. Men vi vet alle at de uttrykk slags suger, ikke sant? Som jeg var bare sitting-- faktisk siste gang Jeg var på kontortid ved Yale, tror jeg, Jason eller en av de TFS holdt roping, som, hei, Siri, hei, Siri og var å gjøre telefonen min gjøre ting fordi han var for proksimale til min faktiske telefonen. Men det motsatte er sant, også. Noen ganger disse tingene bare sparke på fordi det er ufullkommen. Og ja, naturlig språk processing-- forstå et menneskes frasering og deretter gjøre noe basert på it-- er absolutt ufullkommen. Nå, enda verre, noen av dere har kanskje sett eller har en TV hvor du kan gjøre dumme eller new age ting som dette å endre kanaler til venstre eller dette for å skifte kanal til høyre eller senke volumet eller øke volumet. Men hva betyr det TV har? Et kamera pekte på deg på alle mulige tider. Og faktisk, brouhaha rundt Samsung TV som de tok noen Flack er at hvis du lese vilkårene og betingelsene for TV-- tingen du sikkert aldri lest ved utpakking TVen for første tid-- innebygde inn var det en liten ansvarsfraskrivelse sier tilsvarende, en du kanskje ikke ønsker å ha personlig samtaler foran denne TV-en. Og det er hva det reduserer til. Men du bør ikke engang trenger å bli fortalt det. Du bør være i stand til å slutte fra virkeligheten som mikrofon og kamera bokstavelig peker på meg hele tiden kanskje er mer dårlig enn bra. Og ærlig talt, jeg sier dette noe hyklersk. Jeg har bokstavelig talt, i tillegg til disse kameraene, Jeg har en bitte liten kamera her i min laptop. Jeg har en annen en over her. Jeg har i min mobiltelefon på begge sider. Så så jeg ikke skal legge det ned på feil måte, de kan fortsatt se meg og lytter til meg. Og alt dette kan være skjer hele tiden. Så hva er det som hindrer min iPhone eller Android telefon fra å gjøre dette hele tiden? Hvordan vet vi at Apple og noen skumle personen på Google, ikke lytter til dette svært samtale gjennom telefon eller samtaler Jeg har hjemme eller på jobb? PUBLIKUM: Fordi våre liv er ikke så interessant. DAVID MALAN: Fordi vår liv er ikke så interessant. Som faktisk er en gyldig respons. Hvis vi ikke er bekymret om en spesiell trussel, det er en slags som bryr aspekt til det. Lite gamle meg ikke kommer å virkelig være et mål. Men de sikkert kunne. Og så selv om du ser noen cheesy ting på TV og filmer, like, oh, la oss slå på rutenettet og-- som Batman gjør dette mye, faktisk, og faktisk kan se Gotham, hva er skjer ved hjelp av folks mobiltelefoner eller lignende. Noe av dette er litt futuristisk, men vi er ganske mye ute i disse dager. Nesten alle av oss er vandre rundt med GPS transpondere som er forteller Apple og Google og alle andre som ønsker å vet hvor vi er i verden. Vi har en mikrofon. Vi har et kamera. Vi forteller ting som snapchat og andre programmer alle vi kjenner, alle sine telefonnumre, alle sine e-postadresser. Og så igjen, en av gatekjøkken dag, forhåpentligvis er minst pause litt før bare blindt si, OK når du ønsker det bekvemmeligheten av snapchat vite hvem alle vennene dine er. Men omvendt, nå snapchat vet alle du kjenner og noen små notater du kanskje har gjort i kontaktene dine. Så dette var en riktig en, også. For noen måneder tilbake, snapchat selv var ikke i fare. Men det hadde vært noen tredjepartsprogrammer som gjorde det lettere å spare smekker Og fangsten var som at tredjepartstjeneste ble selv utsatt, delvis fordi snapchat tjeneste støttet en funksjon som de sannsynligvis bør ikke ha, som er tillatt for dette arkivering av en tredjepart. Og problemet var at et arkiv av, som, 90.000 snaps, tror jeg, ble til slutt kompromittert. Og så må du kanskje ta litt trøst i ting som snapchat være flyktig, høyre? Du har sju sekunder å se på som upassende melding eller et notat, og deretter forsvinner. Men en, de fleste av dere har sikkert funnet ut hvordan ta skjermbilder av nå, som er den mest enkle måte å omgå dette. Men to, det er ingenting å stoppe selskapet eller personen er på internett fra avskjærende at data, som potensielt kan, også. Så dette var bokstavelig bare en dag eller to siden. Dette var en fin artikkel overskrift på en nettside på Internett. "Epic Fail-- Strøm Worm Ransomware Tilfeldigvis Ødelegger Offerets data under Encryption. " Så en annen dratt fra overskrifter slags ting her. Så du kan ha hørt om malware, som er skadelig software-- så dårlig programvare at folk med for mye fritid skrive. Og noen ganger, det bare gjør dumme ting som å slette filer eller sende spam eller lignende. Men noen ganger, og i økende grad, det er mer sofistikert, ikke sant? Du vet hvordan du prøve seg på kryptering. Og Caesar og Vigenère er ikke super sikker, men det er andre som, i hvert fall, som er mer sofistikert. Og så hva dette motstander gjorde ble skrev et stykke malware som liksom infisert en haug av folks datamaskiner. Men han var slags en idiot og skrev en buggy versjon av denne malware slik at når han eller hun implementert code-- oh, vi er får mye of-- beklager. Vi får mye treff på mikrofonen. OK. Så hva problemet var at han eller hun skrev noen dårlig kode. Og så de genererte pseudo en krypteringsnøkkel som å kryptere noens data skadelig, og deretter ved et uhell kastet bort krypteringsnøkkelen. Slik at effekten av denne malware ble ikke som forutsatt, som gissel noens data ved kryptere hans eller hennes harddisk og deretter ventet $ 800 US i retur for krypteringsnøkkelen, ved hvilket punkt offeret kunne dekryptere sine data. Snarere slemmingen slett kryptert alle dataene på harddisken, ved et uhell slettet krypteringsnøkkelen, og fikk ingen penger ut av det. Men dette betyr også at offeret er virkelig et offer fordi nå er han eller hun kan ikke gjenopprette noen av dataene med mindre de faktisk har noen gamle skolen backup av det. Så også her er liksom en realitet at du vil lese om i disse dager. Og hvordan kan du forsvare seg mot dette? Vel, dette er en hel boks ormer, no pun intended, om virus og ormer og lignende. Og det er absolutt programvare som du kan forsvare deg selv. Men bedre enn det er bare for å være smart om det. Faktisk, haven't-- dette er en av disse gjør som jeg sier, ikke som jeg gjør ting, perhaps-- Jeg har egentlig ikke brukt antivirusprogrammet i år fordi hvis du vanligvis vet hva de skal se etter, kan du forsvare seg mot de fleste alt på egen hånd. Og faktisk, tidsriktig her Harvard-- det var en feil eller et problem forrige uke der Harvard er klart, som, overvåking mye nettverkstrafikk. Og alle dere selv besøker CS50 hjemmeside kan ha fått et varsel ordtak at du ikke kan gå til denne nettsiden. Det er ikke sikkert. Men hvis du prøvde å besøke Google eller andre nettsteder, også, de, også, var usikker. Det er fordi Harvard, også har en form for filtreringssystem som holder et øye på potensielt skadelige nettsteder for å beskytte oss mot oss. Men selv disse tingene er klart ufullkommen, hvis ikke buggy, seg selv. Så her-- hvis du er nysgjerrig, vil jeg la disse lysbildene opp online-- er den faktiske informasjonen at motstanderen ga. Og han eller hun var spør etter i bitcoin-- som er en virtuell currency-- $ 800 USA for å faktisk dekryptere dine data. Dessverre, dette ble fullstendig foliert. Så nå skal vi se på noe mer politisk. Og igjen, her er målet til å begynne å tenke på hvordan du kan ta mer informerte beslutninger. Og dette er noe skjer for tiden i Storbritannia. Og dette var et flott slagord fra en artikkel om dette. Storbritannia innfører, som vil du se en ny overvåking bill der Storbritannia er foreslår å overvåke alt de britiske gjøre for en periode på ett år. Og så dataene er kastet ut. Sitat, unquote, "Det ville betjene et tyranni godt. " Så la oss ta en titt med en venn av Mr. Colbert tallet. [VIDEO PLAYBACK] -Velkommen, Velkommen, velkommen til "Forrige uke Tonight". Tusen takk for at du deltar. Jeg er John Oliver. Bare tid til en rask oppsummering av uken. Og vi begynner med Storbritannia, Jordas minst magiske riket. Denne uken debatten har rast i løpet det over en kontroversiell ny lov. -Den Britiske regjeringen er avduking nye overvåkningslover som vesentlig utvide sin makt å overvåke folks aktiviteter på nettet. -Theresa Mai er det samtaler det en lisens til å operere. Andre har kalt det en snooper charter, har de ikke? -Vel, Hold på because-- snooper s charter er ikke det rette uttrykket. Det høres ut som avtalen en åtte-åring er tvunget til å signere lovende til å banke før han går inn i foreldrenes soverom. Dexter, signere denne snooper charter eller Vi kan ikke holdes ansvarlig for hva du kan se. Denne regningen kan potensielt skrive inn i loven en stor invasjon av privatliv. -Under Planene, en liste over nettsteder besøkt av hver person i Storbritannia vil bli registrert i et år og kunne gjøres tilgjengelig for politi og sikkerhet tjenester. -Dette Kommunikasjon data ville ikke avsløre den eksakte websiden du så på, men det ville vise hvor det var på. -OK. Så det ville ikke lagre eksakt side, akkurat nettstedet. Men det er fortsatt mye informasjon. For eksempel, hvis noen besøkt orbitz.com, du ville vite at de var tenker på å ta en tur. Hvis de besøkte yahoo.com, ville du vet de bare hatt et slag og glemte ordet "google". Og hvis de besøkte vigvoovs.com, ville du vet at de er kåte og deres B-knappen fungerer ikke. Og med alt feiende krefter regningen inneholder, British innenriksminister Theresa May insisterer på at kritikerne har blåst den ut av proporsjoner. -En Internettforbindelse posten er en registrering av kommunikasjonstjenesten at en person har brukt, ikke en registrering av alle nettsider de har fått tilgang til. Det er rett og slett den moderne ekvivalent av en spesifisert telefonregning. -Ja, Men det er ikke fullt så betryggende som hun mener det er. Og jeg skal fortelle deg hvorfor. Først, jeg ønsker ikke regjeringen å se på telefonen min ringer heller. Og for det andre, en Internett-surfing historie er litt forskjellig fra en spesifisert telefonregning. Ingen febrilsk sletter sin telefon regningen hver gang de er ferdig med en samtale. [END PLAYBACK] DAVID MALAN: Et mønster voksende om hvordan jeg forberede klassen. Det er bare å se på TV for en uke og se hva som kommer ut, helt klart. Så det var også bare fra forrige natt på "Forrige uke Tonight". Så la oss begynne å snakke nå om noen av forsvar. Ja, for noe som dette, der britene foreslår å holde en logg over den slags av data, hvor det kan komme fra? Vel, husker fra PSet seks, PSet sju, og PSet åtte nå at innsiden av de virtuelle envelopes-- minst for HTTP-- er meldinger som ser ut som dette. Og så denne meldingen, selvfølgelig, er ikke bare adressert til en bestemt IP-adresse, som regjeringen her eller der kan sikkert logge. Men selv inne på at konvolutten er en eksplisitt omtale av domenenavnet som blir besøkt. Og hvis det er ikke bare slash, det kan faktisk være en bestemt fil navn eller et bestemt bilde eller film eller, igjen, noe av interesse for deg kunne være sikkert snappet opp hvis alle de nettverkstrafikk er liksom blir proxy gjennom statlige servere, som allerede skjer i noen land, eller hvis der er liksom ukjent eller undisclosed avtaler, som har skjedd allerede i denne landet mellom viss stort players-- ISPer og telefonselskaper og den like-- og regjeringen. Så morsomt story-- siste gang jeg valgte badplace.com av toppen av hodet mitt som et eksempel på en overfladisk nettsted, gjorde jeg faktisk ikke Veterinæren på forhånd hvorvidt det faktisk førte til en badplace.com. Heldigvis, dette domenet Navnet er bare parkert, og det ikke egentlig føre til en badplace.com. Så vi vil fortsette å bruke som en for nå. Men jeg fortalte at kunne har back veldig dårlig denne dagen. Så la oss begynne å snakke nå om visse forsvar og hva hull der kan også være i de. Så passord er slags go-å svare for mange forsvarsmekanismer, ikke sant? Bare passordbeskytte det, da som vil holde motstanderne ut. Men hva betyr egentlig det? Så husker fra hacker to, tilbake hvis du taklet at-- når du måtte knekke passord i en file-- eller i problem satt syv, når vi gir deg et utvalg SQL fil av noen brukernavn og passord. Disse var brukernavn deg så, og disse var hashes at vi distribuert for hacker utgave av oppgavesettet to. Og hvis du har vært lurer på alt dette tid hva den faktiske passord var, Dette er hva som i virkeligheten de dekryptere til, som du kunne ha sprukket i PSet to, eller du kunne ha lekent skjønte dem ut i oppgavesettet syv. Alle av dem har noen forhåpentligvis søt mening her eller i New Haven. Men takeaway er at alle av dem, i det minste her er ganske kort, ganske guessable. Jeg mener, basert på listen her, som er kanskje den enkleste å knekke, for å finne ut ved å skrive programvare som bare gjetter og sjekker, ville du si? PUBLIKUM: Passord. DAVID MALAN: Passord s ganske bra, ikke sant? Og det er just-- en, det er en svært vanlig passord. Faktisk, hvert år er det en liste over de vanligste passordene i verden. Og sitat, unquote "passord" er generelt oppå den listen. To, er det i en ordbok. Og du vet fra problem satt fem som det ikke er at hard-- kan være en lite tid consuming-- men det er ikke så vanskelig å laste en stor ordbok i minnet og deretter bruke den til å slags gjetning og sjekk alle mulige ord i en ordbok. Hva annet kan være ganske lett å gjette og sjekke? Yeah? PUBLIKUM: Gjentagelsen av bokstaver. DAVID MALAN: Gjentagelsen av symboler og bokstaver. Så snilt av liksom. Så, i fact-- og vi vil ikke gå inn i stor detalj her-- alle disse ble saltet, som du kanskje husker fra Problemet satt sju dokumentasjon. Noen av dem har forskjellige salter. Så du kan faktisk unngå at repetisjon av visse tegn rett og slett ved salting passordene annerledes. Men ting som 12345, er at en ganske enkel ting å gjette. Og ærlig talt, problemet med alle disse passordene er at de er alle bare bruker 26 mulige tegn, eller kanskje 52 med litt store bokstaver, og deretter 10 bokstaver. Jeg bruker ikke noen funky tegn. Jeg bruker ikke nuller for O eller de for jeg er eller L's or-- hvis noen av dere tror du blir flink, men ved ha en null for en O i passordet ditt or-- OK, så jeg noen smil. Så noen har en null for en O i passordet sitt. Du er faktisk ikke blir så flink som du kanskje tror, ​​ikke sant? Fordi hvis mer enn en av oss gjør dette i rommet-- og jeg har vært skyldig i dette samt-- vel, hvis alles slags gjøre dette, hva motstanderen har å gjøre? Bare legg nuller og enere og et par other-- kanskje fours for H's-- til hans eller hennes arsenal og bare erstatte de bokstaver for de ordbok ord. Og det er bare en ekstra sløyfe eller noe sånt. Så egentlig den beste forsvar for passord er noe mye, mye mer random-tilsynelatende så disse. Nå, selvfølgelig, trusler mot passord noen ganger omfatte e-poster som det. Så jeg bokstavelig talt bare fikk denne i innboksen min for fire dager siden. Dette er fra Bretagne, som tilsynelatende fungerer på harvard.edu. Og hun skrev meg som en webmail bruker. "Vi bare lagt merke til at e-posten din kontoen ble logget på en annen datamaskin på et annet sted, og du er å verifisere din personlige identitet. " Så tematisk i mange e-poster som dette, noe som er eksempler på phishing attacks-- P-H-I-S-H-I-N-G-- der noen prøver å fiske og få noen informasjon ut av deg, generelt av en e-post som dette. Men hva er noen av de avslørende tegn på at dette ikke er, faktisk, en legitim e-post fra Harvard University? Hva er det? Så ille grammatikk, den rare bokstaver, hvordan noen bokstaver er kapitalisert på visse steder. Det er noen merkelige innrykk i et par steder. Hva annet? Hva er det? Vel, som sikkert helps-- den store gule boksen som sier at dette kan være spam fra Google, som er absolutt nyttig. Så det er mye avslørende tegn her. Men realiteten er disse e-post må jobbe, ikke sant? Det er ganske billig, om ikke gratis, for å sende ut hundrevis eller tusenvis av e-poster. Og det er ikke bare ved å sende dem ut av din egen ISP. En av de tingene som malware har en tendens til å do-- så virus og ormer som ved et uhell infisere eller datamaskiner fordi de har er skrevet av en av de adversaries-- tingene de gjør er bare å churn ut spam. Så hva er det ikke eksisterer i verden, faktisk er ting som kalles botnets, som er en fancy måte å si at folk med bedre koding ferdigheter enn den personen som skrev at buggy versjon av programvaren, har faktisk skrevet programvare at folk som oss unsuspectingly installere på våre datamaskiner og så begynne å løpe bak kulissene, ukjent for oss. Og de malware programmer intercommunicate. De danner et nettverk, et botnet hvis du vil. Og generelt, mest sofistikerte av motstandere har noen form for ekstern kontroll over tusenvis, om ikke titusenvis, av datamaskiner ved bare å sende ut en melding på internett at alle disse roboter, så å si, er i stand til å høre eller av og til forespørsel fra noen sentrale området og deretter kan styres til å sende ut spam. Og disse spam tingene kan være nettopp solgt til høystbydende. Hvis du er en bedrift eller liksom en utkant selskap som egentlig ikke bryr seg om slags etikk spamming brukerne men du bare vil hit ut en million mennesker og håper at 1% av them-- som fremdeles en nontrivial nummer potensial buyers-- du faktisk kan betale disse motstandere i form av svarte markedet av sorterer å sende ut disse spams via sine botnets for deg. Så det er nok å si, dette er ikke en særdeles overbevisende e-post. Men selv Harvard og Yale og lignende ofte gjør feil, ved at Vi vet fra noen uker tilbake at du kan gjøre en adresse si www.paypal.com. Og det ser ut som det går der. Men, selvsagt, den faktisk ikke gjør det. Og så Harvard og Yale og andre har sikkert gjort seg skyldig i løpet av årene i å sende ut e-poster som er legitime, men de inneholder hyperkoblinger i dem. Og vi, som mennesker, har vært trent av typen tjenestemenn, ganske ofte, å faktisk bare følg koblinger som vi mottar i en e-post. Men selv det er ikke den beste praksis. Så hvis du noen gang får en e-post som dette-- og kanskje det er fra Paypal eller Harvard eller Yale eller Bank of America eller like-- du bør likevel ikke klikk koblingen, selv om det ser legitime. Du bør manuelt skrive ut at URL selv. Og ærlig talt, det er det systemadministrator bør fortelle oss til å gjøre slik at vi er ikke lurt til å gjøre dette. Nå, hvor mange av dere, kanskje ved å se ned på setet, har passord skrevet ned et sted? Kanskje i en skuff i din hybel eller kanskje under-- i en ryggsekk eller annet sted? Lommebok? Nei? PUBLIKUM: I en brannsikker lås? DAVID MALAN: I en brannsikker lås? OK. Så det er bedre enn en lapp på skjermen. Så absolutt, noen av du insistere no. Men noe sier meg at er ikke nødvendigvis tilfelle. Så hva med en enklere, mer sannsynlig question-- hvor mange av dere bruker samme passordet for flere nettsteder? Oh ok. Nå er vi være ærlige. Greit. Så det er fantastiske nyheter, ikke sant? Fordi hvis det betyr at hvis bare en av dem nettstedene du alt bruker er kompromittert, nå motstanderen har tilgang til mer data om du eller flere potensielle exploits. Så det er et enkelt å unngå. Men hvor mange av dere har en ganske guessable passord? Kanskje ikke så ille som dette, men noe? For noen dum side, ikke sant? Det er ikke høy risiko, ikke har et kredittkort? Alle oss. Liker, selv jeg har passord som er nok bare 12345, sikkert. Så nå prøver å logge inn på hvert nettsted du kan tenke på med malan@harvard.edu og 12 345 og se om det fungerer. Men vi gjør dette, også. Så hvorfor? Hvorfor så mange av oss har enten ganske enkle passord eller samme passord? Hva er den virkelige verden begrunnelsen for dette? Det er enklere, ikke sant? Hvis jeg sa i stedet, faglig, dere burde egentlig være å velge pseudo passord som er minst 16 tegn lang og har en kombinasjon av alfabetiske bokstaver, tall og symboler, hvem faen skjer å være i stand til å gjøre det, eller husker disse passordene, enn si for hver og alle mulige nettside? Så hva er en levedyktig løsning? Vel, en av de største gatekjøkken i dag, også, pragmatisk, ville være ærlig, å starte ved hjelp av en slags passord manager. Nå er det oppsider og ulempene med disse tingene, også. Dette er to som vi pleier å anbefale i CS50. Ens kalt knappen 1Password. En heter Lastpass. Og noen av dere kanskje bruke disse allerede. Men det er generelt en stykke programvare som ikke lette å generere store pseudo passord som du kan umulig huske som et menneske. Den lagrer de pseudo passord i sin egen database, forhåpentligvis på den lokale hard drive-- kryptert, enda bedre. Og alle dere, det menneskelige, må huske, Vanligvis er en master-passord, som sannsynligvis kommer til å bli super lang. Og kanskje er det ikke tilfeldige tegn. Kanskje det er liksom en setning eller et kort avsnitt som du kan huske og du kan skrive en gang om dagen å låse datamaskinen. Så du bruker en spesielt stor passord for å beskytte og å kryptere alle andre passord. Men nå er du i vanen med å bruke programvare som dette for å generere pseudo passord på tvers av alle nettsteder du besøker. Og ja, det kan jeg komfortabelt si nå, i 2015, Jeg vet ikke de fleste av passordene mine lenger. Jeg vet at min hovedpassord, og jeg skriver det, uvitende, én eller flere ganger om dagen. Men oppsiden er at nå, om noen av mine ett kontoer er kompromittert, det er ingen måte noen er kommer til å bruke den kontoen for å komme inn i en annen, da ingen av mine passord er det samme lenger. Og sikkert, ingen, selv om han eller hun skriver motstandere programvare til Brute Force ting og tror alt mulig passwords-- oddsen for at de kommer til å velge mine 24-tegns lange passord er bare så, så lav jeg er bare ikke bekymret som trussel lenger. Så hva er trade-off her? Det virker fantastisk. Jeg er så mye mer trygg. Hva er trade-off? Yeah? PUBLIKUM: Time. DAVID MALAN: Time. Det er mye lettere å skriver 12345 og jeg er logget i versus noe som er 24 tegn eller et kort avsnitt. Hva annet? PUBLIKUM: Hvis noen bryter hovedpassordet. DAVID MALAN: Yeah. Så du slags endring trusselbildet. Hvis noen gjetter eller tall ut eller leser Post-it lapp i hvelv sikker fil, hovedpassordet du har, nå alt er kompromittert der det tidligere var kanskje bare én konto. Hva annet? PUBLIKUM: Hvis du ønsker å bruke noen av dine kontoer på en annen enhet og du ikke har Lastpass [uhørbart]. DAVID MALAN: Ja, det er slag av en fangst, også. Med disse verktøyene, også, hvis du trenger ikke datamaskinen og du er i, som, noen kafé eller du er på en venns hus eller en datalab eller hvor du vil å logge inn på Facebook, du vet ikke engang hva Facebook-passordet er. Nå noen ganger, kan du redusere dette ved å ha en løsning at vi skal snakke om i et øyeblikk kalt to-faktor autentisering hvorved Facebook vil teksten du eller vil sende en spesiell kryptert melding til telefonen eller noen andre enhet som du bære rundt på nøkkelringen med som du kan logge inn. Men det er kanskje irriterende hvis du er i kjelleren på vitensenteret eller andre steder her på New Haven campus. Du har kanskje ikke signal. Og så det er ikke nødvendigvis løsningen. Så det er en avveining. Men det jeg vil oppfordre deg til do-- hvis du går til CS50 hjemmeside, vi faktisk arrangert for den første av disse selskapene for en site-lisens, så å si, for alle CS50 studenter slik at du ikke trenger å betale $ 30 eller så er det normalt koster. For Mac og Windows, kan du sjekke ut 1Password gratis på CS50 hjemmeside, og vi vil koble deg opp med det. Skjønner også at noen av disse tools-- inkludert Lastpass i en av sine forms-- er skybasert, som Colbert sier, noe som betyr at passordene dine er encryptedly lagret i skyen. Tanken er at du kan gå til noen tilfeldig person eller venns datamaskin og logg deg på Facebook konto eller lignende fordi du først gå til lastpass.com, få tilgang til passordet ditt, og skriv det inn. Men hva er trusselen scenario der? Hvis du lagrer ting i skyen, og du er tilgang til denne nettsiden på noen ukjent datamaskin, hva kan din venn gjøre til deg eller dine tastetrykk? OK. Jeg skal være manuelt marsj skred her på ut. Keylogger, ikke sant? En annen type malware er en keylogger som er bare et program som faktisk logger alt du skriver. Så der også, er det sannsynligvis bedre å har noen sekundær enhet som dette. Så hva er to-faktor autentisering? Som navnet antyder, er det du har ikke én, men to faktorer som godkjennes av en nettside. Så i stedet for å bruke bare et passord, du har noen andre andre faktoren. Nå, som vanligvis er, en, faktor er noe du vet. Så noe slags i ditt indre øye, som er passord som du har lagret. Men to, ikke noe annet som du vet eller har memorert men noe du fysisk har. Ideen her er trusselen ikke lenger kan være noen tilfeldig person på internett som kan bare gjette eller finne ut passordet ditt. Han eller hun må ha fysisk tilgang til noe som du har, som fortsatt er mulig og likevel kanskje desto mer fysisk truende. Men det er i hvert fall en annen form for trussel. Det er ikke en million navnløse mennesker der ute prøver å få til dine data. Nå er det en helt bestemt person kanskje at hvis det er et problem, er at Et annet problem fullstendig, også. Så det generelt finnes for telefoner eller andre enheter. Og, faktisk, Yale bare rullet dette ut mid-semester slik at dette ikke påvirker folk i dette rommet. Men de av dere følgende sammen i New Haven vet at hvis du vil logge inn yale.net ID, i tillegg til å skrive din brukernavn og passord, du deretter bedt med dette. Og, for eksempel, er dette en screenshot jeg tok i morges når jeg logget inn på min Yale konto. Og det sender meg tilsvar av en tekstmelding til telefonen min. Men i virkeligheten, jeg lastet ned en app på forhånd at Yale nå distribuerer, og jeg må nå bare skriv inn kode som de sender til telefonen min. Men for å være klart, Opp til dette er det nå, selv om noen finner ut min Yale passordet, er jeg trygg. Det er ikke nok. Det er bare én nøkkel, men jeg trenger to for å låse opp kontoen min. Men hva er ulempen, kanskje, av Yale system? Og vi skal la Yale vite. Hva er ulempen? Hva er det? Hvis du ikke har celle tjenesten, eller hvis du ikke har Wi-Fi, fordi du er bare i en kjeller eller noe, du kanskje ikke være i stand til å få meldingen. Heldigvis, i dette tilfellet, Dette vil bruke Wi-Fi eller noe annet, som virker rundt det. Men et mulig scenario. Hva annet? Du kan miste telefonen. Du har bare ikke det. Batteriet dør. Jeg mener, det er en rekke irriterende scenarier men mulige scenarier som kan skje som gjør at du angrer denne beslutningen. Og den verst tenkelige utfallet, ærlig, deretter ville være for brukerne å deaktivere denne helt. Så det er alltid kommer å være denne spenningen. Og du må finne selv som en bruker liksom en sweet spot. Og for å gjøre dette, ta et par konkrete forslag. Hvis du bruker Google Gmail eller Google Apps, vet at hvis du går til denne nettadressen her, du kan aktivere to-faktor autentisering. Google kaller det 2-trinns bekreftelse. Og du klikker Setup, og så du gjøre akkurat det. Det er en god ting å gjøre, spesielt i disse dager fordi, takket være cookies, du er logget inn nesten hele dagen lang. Så du sjelden trenger å Skriv inn passordet ditt uansett. Så du kan gjøre det en gang uke, en gang i måneden, en gang om dagen, og det er mindre av en stor håndtere enn tidligere. Facebook, også har dette. Hvis du er litt for løst med å skrive Facebook-passordet til venner ' datamaskiner, i det minste gjøre det mulig to-faktor autentisering, slik at denne vennen, selv om han eller hun har et tastetrykk logger, de kan ikke komme inn på kontoen din. Vel, hvorfor er det? Kunne de ikke bare logge kode jeg har skrevet inn på telefonen min at Facebook har sendt til meg? PUBLIKUM: [uhørlig]. DAVID MALAN: Yeah. Den godt designet programvare vil endre disse kodene som sendes til telefonen din noen få sekunder eller hver gang og slik at, ja, til og med hvis han eller hun finner ut hva koden er, er du fortsatt trygt fordi det vil være utløpt. Og dette er hva det ser ut liker på Facebook hjemmeside. Men det er en annen tilnærming helt. Så hvis slike avveininger er ikke spesielt forlokkende, et generelt prinsipp i sikkerhet ville være, vel, bare minst revisjons ting. Ikke slags sette hodet i sand og vet aldri om eller når du har blitt kompromittert eller angrepet. Minst satt opp noen mekanisme som informerer deg umiddelbart hvis noe unormalt har skjedd slik at du i det minste smal det tidsvindu i løpet som noen kan gjøre skade. Og dette mener jeg den following-- på Facebook, for eksempel, du kan slå på hva de kaller innloggingsvarsler. Og akkurat nå, jeg har aktivert e-post Logg inn varsler, men ikke varsler. Og hva det betyr er at hvis Facebook merknader Jeg har logget inn i en ny computer-- som om jeg ikke har en cookie, det er en annen IP-adresse, er det en annen type computer-- de vil i dette scenariet, send meg en epost som sa, hey, David. Ser ut som du er logget inn fra en ukjente datamaskin, bare så dere vet det. Og nå min konto kan være kompromittert, eller min irriterende venn kan ha vært å logge inn kontoen min nå legge ut ting på min nyhetsfeed eller lignende. Men minst hvor lang tid som jeg er uvitende om at er super, super smal. Og jeg kan forhåpentligvis svare. Så alle tre av disse, ville jeg si, er veldig gode ting å gjøre. Hva er noen trusler som er litt vanskeligere for oss sluttbrukere for å beskytte mot? Vet noen hva session kapring er? Det er en mer teknisk trussel, men veldig kjent nå som vi har gjort PSet seks og sju og nå åtte. Så husker at når du sender trafikk over internett, noen få ting til å skje. La meg gå videre og logg inn c9 eller CS50.io. Gi meg bare ett øyeblikk til logge inn på min jHarvard konto. PUBLIKUM: Hva er passordet ditt. DAVID MALAN: 12345. Greit. Og her inne, vet at hvis jeg går videre og be om en web page-- og i mellomtiden, la meg gjøre dette. La meg åpne opp Chrome Inspector tab og min nettverkstrafikk. Og la meg gå til http://facebook.com og fjerne dette. Egentlig vet du hva? La oss gå til en mer kjent one-- https://finance.cs50.net og klikk Enter og logge nettverkstrafikken her. Så legger merke til her, hvis jeg ser i min nettverkstrafikk, respons headers-- la oss gå opp her. Response headers-- her. Så den aller første forespørsel om at jeg sendte, som var for standardside, den svarte med disse respons overskrifter. Og vi har snakket om ting som plassering. Som betyr plassering omdirigere til login.php. Men en ting vi ikke snakker et stort Mengden om var linjer som dette. Så dette er innsiden av virtuell konvolutt som er sendt fra CS50 Finance-- den versjonen dere skrev, også-- til en brukers laptop eller stasjonær datamaskin. Og dette er å sette en cookie. Men hva er en cookie? Tenk tilbake til vår diskusjon av PHP. Yeah? Ja, det er en måte å fortelle nettside som du fortsatt logget inn. Men hvordan fungerer det? Vel, ved å besøke finance.cs50.net, det ser ut som at serveren at vi implementert er å sette en cookie. Og at cookie er konvensjonelt kalle PHPSESSID session ID. Og du kan tenke på det som en virtuell handstamp på en klubb, eller lignende, en fornøyelsespark, et lite stykke av rødt blekk som går på hånden slik at neste gang du besøker gate, du istedet vise hånden din, og sprett på døren vil la deg bestått eller ikke i det hele tatt basert på det stempelet. Så den påfølgende forespørsler at nettleseren min sends-- hvis jeg går til neste forespørsel og du ser på forespørsel overskrifter, du vil legge merke til flere ting. Men det viktigste er denne uthevede delen her-- ikke satt cookie men cookie. Og hvis jeg bla gjennom hver og en av de påfølgende HTTP-forespørsler, hver gang jeg ville se en hånd utvides med den eksakt samme PHPSESSID, som er å si Dette er de mechanism-- denne store pseudo number-- at en server bruker for å opprettholde illusjonen av PHP $ _SESSION objekt, der du kan lagre ting som brukerens ID eller hva som er i deres handlekurven eller hvilket som helst antall andre biter av data. Så hva er konsekvensen? Vel, hva om det data ikke er kryptert? Og, faktisk vi for beste praksis kryptere ganske mye hver og en av CS50 nettsider i disse dager. Men det er veldig vanlig disse dager for nettsteder still ikke å ha på HTTPS begynnelsen av nettadressen. De er bare HTTP, tykktarm, slash slash. Så hva er implikasjonen det? Det betyr ganske enkelt at alle disse overskrifter er inne i den virtuelle konvolutten. Og alle som snuser luft eller fysisk avskjærer at pakken fysisk kan se inn og se hva som cookie er. Og så session hijacking er ganske enkelt en teknikk at en motstander bruker til å snuse data i luften eller på noen kablet nettverk, se innsiden av denne konvolutt, og se, oh. Jeg ser at din cookie er 2kleu uansett. La meg gå videre og gjøre en kopi av hånden din stempel og nå begynne å besøke Facebook eller Gmail eller hva meg selv og bare presentere nøyaktig samme handstamp. Og realiteten er, nettlesere og servere egentlig er som naiv. Hvis tjeneren ser at like cookie, dens formål i livet bør være å si, oh, som må være David, som bare logget inn litt siden. La meg vise den samme brukeren, formodentlig, David innboks eller Facebook beskjeder eller noe annet inn som din logges. Og den eneste forsvar mot det er å bare kryptere alt inne i konvolutten. Og heldigvis, mange steder liker Facebook og Google og lignende gjør det i dag. Men noe som ikke forlate deg perfekt, perfekt sårbare. Og en av de tingene du kan do-- og en av de fine funksjoner, ærlig, av 1Password, programvaren Jeg nevnte tidligere, er hvis du installerer det på din Mac eller PC, programvare, foruten oppbevaring passord, vil også advare deg hvis du noen gang prøvd logge inn i en nettside som er kommer til å sende ditt brukernavn og passord ukryptert og i den klare, så å si. Greit. Så session hijacking koker ned til det. Men det er dette andre måte som HTTP-hoder kan brukes til å dra nytte av oss. Og dette er fortsatt litt av et problem. Dette er egentlig bare en søt unnskylde å sette opp Cookie Monster her. Men Verizon og AT & T og andre tok mye av antiluftskyts noen måneder tilbake for injisering, Uvisst brukere i utgangspunktet, en ekstra HTTP header. Så de av dere som har hatt Verizon Wireless eller AT & T-celle telefoner, og du har vært på besøk nettsteder via telefonen, ukjent for deg, etter at HTTP forespørsler forlate Chrome eller Safari eller hva på telefonen, gå Verizon eller AT & Ts router, de dristet i noen tid har vært injisere en header som ser som dette-- en nøkkel-verdi-par der nøkkelen er bare X-UIDH for unik identifikator header og litt stor tilfeldig verdi. Og de gjør dette så at de kan entydig identifisere alle dine web-trafikk til personer som mottar din HTTP forespørsel. Nå, hvorfor skulle Verizon og AT & T o.l. ønsker å identifisere deg alle nettstedene du besøker? PUBLIKUM: Bedre kundeservice. DAVID MALAN: Better-- no. Det er en god tanke, men det er ikke for bedre kundeservice. Hva annet? Reklame, ikke sant? Slik at de kan bygge opp en annonsenettverk, formodentlig, der selv om du har slått av cookies, selv om du har spesielle programvare på telefonen som holder deg i inkognito mode-- ha. Det er ingen inkognitomodus når Mannen i middle-- bokstavelig, Verizon eller AT & T-- er å injisere ytterligere data over hvilke du har ingen kontroll, og dermed avsløre hvem du er til det resulterende hjemmeside igjen og igjen. Så det finnes måter å melde deg ut av dette. Men også her er noe som ærlig, den eneste måten å skyve tilbake på dette er å forlate transportøren helt, deaktivere den hvis de selv kan du, eller, slik det skjedde i dette tilfellet gjøre ganske mye oppstyr online slik at selskapene faktisk svare. Også dette er bare en annen bedårende mulighet til å vise dette. Og la oss ta en titt på, la oss si, en eller to finale trusler. Så vi snakket om CS50 Finance her. Så vil du legge merke til at vi har denne søte lille ikonet på innloggingsknappen her. Hva betyr det hvis jeg i stedet bruke dette ikonet? Så før, etter. Før etter. Hva betyr etter bety? Det er sikkert. Det er hva jeg vil du skal tenke. Men ironisk nok, er det trygt fordi vi har HTTPS. Men det er hvor enkelt det er å endre noe på en nettside, ikke sant? Dere vet alle en bit av HTML og CSS nå. Og faktisk er det ganske lett to-- og hvis du gjorde ikke it-- å endre ikonet. Men også dette er hva selskapene har lært oss å gjøre. Så her er et skjermbilde fra Bank of America hjemmeside morges. Og legg merke til, en, de er betryggende meg at det er et sikkert tegn på øverst til venstre. Og de har også en hengelås-ikonet på knappen, noe som betyr at det for meg, sluttbrukeren? Virkelig ingenting, ikke sant? Hva gjør saken er det faktum at det er den store grønne URL opp toppen med HTTPS. Men hvis vi zoomer inn på dette, er bare som meg, vite litt om HTML og en bit av CSS, og sa: hei, er min hjemmeside sikker. Liker, hvem som helst kan sette en hengelås og Ordet sikker pålogging på deres hjemmeside. Og det virkelig betyr noe. Hva betyr noe er noe sånt som dette, der du ser https: // det faktum at Bank of America har dette store grønne linjen, mens CS50 ikke, betyr bare at de har betalt flere hundre dollar mer for å ha ekstra verifisering gjort av domene i USA, slik at nettlesere som holder seg til denne standarden vil også vise oss litt mer enn det. Så vi skal la ting på det, skremme deg litt mer før lenge. Men på onsdag, vi vil få selskap av Scaz fra Yale for en titt på kunstig intelligens og hva vi kan gjøre med disse maskinene. Vi vil se deg neste gang.