Tip:
Highlight text to annotate it
X
>> [MUZYKA]
>> DAVID J. MALAN: W porządku.
Więc to jest CS50 i to jest koniec tygodnia 10.
Więc może niektórzy z was nie widziałem tego już, ale są przekazywane późno
jest artykuł, że myślałem, że czytam fragment, a następnie pokazać
trzy minuty film, który maluje sam obraz.
To była naprawdę wzruszająca historia, I myślałem, z tym skrzyżowaniu
Prawdziwy świat z naprawdę przekonujące korzysta z technologii.
>> Tak więc artykuł został zatytułowany "boy oversleeps na pociąg, korzysta z Google Maps
znaleźć rodzinę 25 lat później ". I Pierwsze kilka paragrafów,
"Kiedy Saroo wieku pięciu lat wyjechał ze starszym bratem wyżebrać dla
zmiany w pociągu pasażerskiego w mieście, około dwóch godzin
z małego miasteczka.
Saroo się zmęczony i wskoczyliśmy w pobliżu pociągu, w którym myślał, jego
brat, potem zasnął.
Kiedy się obudził był w Kalkucie, prawie 900 mil.
Saroo próbował znaleźć drogę z powrotem, ale nie wiedział,
nazwa jego rodzinnego miasta.
A jako mały chłopiec w Zdecydowana analfabeta miasto pełne zapomnianych dzieci, jakie miał
praktycznie nie ma szans na uzyskanie domu.
>> Był dzieckiem ulicy na chwilę, aż lokalna agencja uzależniony przyjęcie
mu się z Australian dwoje który przyniósł mu
Mieszkam w Hobart.
Saroo przeniósł się tam, dowiedział Angielski, a dorastał.
Ale nigdy nie przestali szukać jego rodzina i jego rodzinne miasto.
>> Kilkadziesiąt lat później odkrył Google Ziemia i następnie tory kolejowe.
I daje sobie przepisaną promień opiera się na jak długo myślał, że
śpi i jak szybko pomyślał pociąg się dzieje, wiedział, że dorastał
w ciepłym klimacie, wiedział, że mówił Hindi jako dziecko, a on został poinformowany
że wyglądał, jakby był z East India.
>> Wreszcie, po latach czyszczenie Zdjęcia satelitarne, on
uznawane kilka zabytków.
I po czacie z administratorem z miastem w pobliżu tych
Strona Facebook, zdał sobie sprawę, że znalazł dom. "
>> Więc o czym jest film mówi że opowieść z jego perspektywy.
>> [PLAYBACK VIDEO]
>> -To było 26 lat temu, a ja tylko o kolei pięć.
Dotarliśmy do dworca kolejowego i wsiedliśmy do pociągu razem.
Mój brat po prostu powiedział Zostanę tutaj i wrócę.
A ja myślałem, dobrze wiesz, że równie dobrze może po prostu iść spać i
wtedy on po prostu mnie obudzić.
A kiedy budzę się następnego dnia, Cały wózek był pusty na uciekiniera
Pociąg, pociąg biorąc upiór ja nie wiem gdzie.
>> I został przyjęty z Australii do australijskiej rodziny.
I Mama urządzone mój pokój z mapa Indie, które ona
umieścić obok mojego łóżka.
Obudziłem się rano widząc, że mapy, i tym samym, to jakby trzymane
memories alive.
>> Ludzie mówili, że próbujesz znaleźć igłę w stogu siana.
Saroo, nigdy nie znajdziesz go.
Musiałbym miga z miejsc, które Chodziłem, błyski
z mojej rodziny twarzy.
Był obraz matka siedzi w dół z nogami skrzyżowanymi
tylko oglądanie jej krzyk.
Życie jest tak ciężko.
To był mój skarb.
>> I szukałem w Google Map i realizowany jest program Google Earth, jak również.
W świecie, gdzie można powiększyć do I zaczął mieć wszystkie te myśli i
jakie możliwości, że może to dla mnie zrobić.
Powiedziałem sobie, no wiesz, masz wszystkie fotograficzne
wspomnienia i zabytków, gdzie jesteś od i wiesz co
miasto wygląda.
To może być wniosek, że można użyć, aby znaleźć drogę powrotną.
>> Pomyślałem, cóż, będę postawić kropkę na Dworzec Kalkuta w promieniu
linii, które powinny być wyszukiwanie wokół tego obszaru.
Natknąłem tych torach kolejowych.
I zacząłem po nim i doszedłem do dworzec kolejowy, który odzwierciedla
sam obraz, który był w moich wspomnieniach.
>> Wszystko dopasowane.
Pomyślałem, yep.
Wiem, gdzie idę.
Ja tylko pozwolę mapy że mieć w głowie, aby doprowadzić mnie i weź mnie
z powrotem do mojego rodzinnego miasta.
>> Doszedłem do progu domu że urodził się i chodził po
około piętnastu metrów rogiem.
Nie było trzy panie stały poza obok siebie.
A środkowy podszedł.
A ja myślałem, to jest twoja matka.
Podeszła do przodu, ona przytuliła mnie, a my były tam przez około pięć minut.
>> Złapała mnie za rękę i zabrała mnie do dom, ale przez telefon, a ona
zadzwoniła moja siostra i mój brat do powiedzenia , że brat twój ma tylko wszystkie
Nagle pojawił się jak duch.
>> A potem rodzina połączyć się ponownie.
Wszystko jest dobrze.
Pomagam mamie się.
Ona nie musi być niewolnictwo dalej.
Ona może doprowadzić resztę jej życie w pokoju.
>> To było igły w stogu siana, ale igła było.
Wszystko, co tam jest.
Wszystko, co mamy w świecie jest dotknięcia.
Ale musisz mieć wolę i wola chce go.
>> [END PLAYBACK VIDEO]
>> Tak naprawdę słodka historia.
I faktycznie przypomina mi dość temat, który został coraz sporo
uwagi późno w Crimson, więcej w kraju w ogóle.
Zwłaszcza, MOOCs biorą etap późno.
MOOCs będące te ogromne i otwarte kursy online, których CS50 jest jeden.
>> A ludzie mówią o tym, jak na Przykładowo, nie są naprawdę humanistycznych
nadrabiają zaległości lub nie są już tak w modzie, jak były kiedyś.
I chciałbym zachęcić was, wiele jak Jonathan zrobił w poniedziałek, aby myśleć
o, jak wyjść 50 i wiemy, już około 50% z was nie będzie
kontynuować stosowanie innego komputera Kurs nauki, i to jest całkowicie
grzywny i oczekiwaniami.
Ponieważ jednym z nadrzędnych celów z klasą, jak to jest naprawdę
upoważnić chłopaki z zaledwie zrozumienie, jak wszystkie z tych rzeczy
działa i jak ten świat prac technologicznych.
>> Tak, że kiedy jesteś z powrotem w swoim własnym światy, czy jest to pre-med lub
czy to humanistycznych lub nauki społeczne lub inne pole
całkowicie, że chłopaki przynoszą niektóre techniczne doświadczonych do stołu i
pomoc w podejmowaniu trafnych decyzji, gdy chodzi o wykorzystanie i
Wprowadzenie technologii do swojego świata.
>> Na przykład I przypomniał późno też z dwóch licencjackich
Klasy I trwało dwa lata temu, które były takie proste zastosowania technologii
ale nigdy tak przekonujące.
Pierwsze noce z prof Tom Kelly jeśli już podjęte klasę.
To klasa muzyki klasycznej na etap ten tu, gdzie się uczyć
Małe co nieco o muzyce.
To faktycznie pierwsze noce, CS50 pożyczył pomysł dla tych utworów
mniej wygodne w między i bardziej komfortowe.
>> W swoim czasie mieli różne utwory dla dzieci z absolutnie bez muzyki
doświadczenia jak ja, a następnie dzieci, które została wykonywania ponieważ były
pięć lat.
I klasa, na przykład, po prostu musiałem Strona jak większość innych, ale to
to strona internetowa, która pozwala ci odkrywania muzyki na nim i odtwarzać
klipy muzyczne z klasy, z internetu, i po prostu korzystać z technologii w bardzo
bezszwowe sposób.
>> Kolejne lata później, I klasa zbadane, zasadniczo, w grad szkoły,
Anthro 1010, Wprowadzenie do Archeologii tutaj.
To było niesamowite.
I jeden z najbardziej przekonujące jeszcze bardzo oczywiste, z perspektywy czasu, korzysta z
oprogramowanie było, że profesorowie że klasa używane Google Earth.
Siedzieliśmy po drugiej stronie ulicy w jakiejś sali wykładowej.
I nie może podróżować, na przykład, na Bliskim Wschodzie, na wykopaliskach, że jeden
z profesorów właśnie wrócił z powrotem, , ale możemy to zrobić praktycznie przez
latają w Google Earth patrząc na widok z lotu ptaka na
kopać miejsce Właśnie wrócił z tydzień temu.
>> Więc chciałbym zachęcić was, zwłaszcza w naukach humanistycznych, aby przejść
kopii dla tych służb po to klasa przynosząc swoje ostateczne projekty
z tobą lub pomysłów własnych i zobacz tylko to, co można zrobić, aby natchnąć swoją
własne pola w naukach humanistycznych lub poza z odrobiną tego rodzaju
co już zostało tutaj w CS50.
>> Więc z tym obraz namalowany, że my próbują rozwiązać dwie rzeczy dzisiaj.
One, staram się dać ci poczucie gdzie można iść po 50.
A w szczególności, jeśli zdecydujesz się na rozwiązania internetową projektu jak
bardzo często, w jaki sposób można go o startu wszystkie CS50-tych
kółka i chodzić tam na własnych, a nie opierania się na
PDF lub opis z Pset?
Nie ma polegać na CS50 Urządzenie już.
Ale naprawdę może ciągnąć się o swoich siłach.
>> Z powiedział, że C-oparte finału projekty są mile widziane.
Rzeczy, które korzystają z podstawki do Przenośna biblioteka w
Grafika jest mile widziane.
Wiemy tylko, że statystycznie dużo ludzi odgryźć projektów w PHP i
Python i Ruby i MySQL i inne środowisk, więc my będziemy stronniczość niektórych
nasze uwagi wobec tego.
>> Ale szybko z powrotem wygląd.
Więc wzięliśmy za pewnik w pset7 na Fakt, że $ _SESSION istniał.
To był bardzo globalny, globalny, asocjacyjna.
A co to pozwalają robić?
Funkcjonalnie, co jest wyposażone daje nam?
Tak?
Aby śledzić użytkownika identyfikator.
I dlaczego jest to przydatne?
Aby być w stanie przechowywania wewnątrz tego super globalne JHarvard lub [? Scroobs?]
lub Malan w ID użytkownika, gdy lub odwiedza witrynę.
>> Dokładnie.
Więc nie musisz się zalogować w kółko.
Byłoby naprawdę lame world wide web jeśli przy każdym kliknięciu łącza
na miejscu, takich jak Facebook lub za każdym razem kliknięciu na wiadomości e-mail w Gmailu Ciebie
musiał uwierzytelnienie się okazać, że to jeszcze można i nie twój współlokator
kto mógł podszedł do swojego komputer podczas twojej nieobecności.
>> Więc używamy sesji tylko pamiętam, kim jesteś.
A jak to jest realizowane pod maską?
Jak strona internetowa, która korzysta, Protokół przeglądarek internetowych i serwerów
mówić, w jaki sposób HTTP, który jest bezpaństwowcem protokół, powiedzmy.
>> I bezpaństwowców to znaczy, kiedy podłączyć do strony, pobierz niektóre
HTMLs niektóre JavaScript, niektóre CSS, twój ikona przestaje przeglądarce przędzenia.
Nie masz stałego połączenia do serwera zazwyczaj.
To wszystko.
Nie ma utrzymać stan stale.
Więc jak to jest realizowane w taki SESSION sposób, że za każdym razem zrobić, odwiedź
Nowa strona, strona pamięta kim jesteś?
Co jest podstawowym zastosowaniem szczegół?
Shout it out.
To jedno słowo.
>> Cookies.
Dobrze.
Więc ciasteczka.
Cóż, jak pliki cookie są wykorzystywane?
Będziemy pamiętać, że plik cookie jest na ogół tylko fragment informacji.
I to często duży random ilość, ale nie zawsze.
A cookie jest obsadzony na twardym jazdy samochodem lub w pamięci komputera tak
że za każdym razem ponownie, że same strona internetowa, przeglądarka przypomina
serwer, jestem łatwy 1234567.
Jestem użytkownika 1234567.
>> I tak długo, jak serwer został zapamiętany że użytkownik 1234567 jest
JHarvard, strona po prostu zakładamy że jesteś, który mówisz, że jesteś.
I przypominają, że prezentujemy te ciasteczka jakby w formie
wirtualne stoisko hand.
To wysyłane w nagłówkach HTTP tylko przypomnij serwera, że jesteś kim
myśli, że jesteś.
>> Oczywiście, nie jest zagrożeniem.
Jakie zagrożenie to ma otworzyć nas do czy my w zasadzie za pomocą rodzaju klubu
lub mechanizm park rozrywki za pamięć, kim jesteśmy?
>> Jeśli skopiujesz czyjeś ciasteczko i porwać ich sesji, że tak powiem, ci
może udawać kogoś innego i strona najprawdopodobniej jest po prostu będzie
wierzę.
Więc wracamy do tego.
Ponieważ inny motyw na dziś poza empowerment rozmawia również
o świecie bardzo przerażające, że żyjemy w i jak wiele z tego, co robisz na
web, jak wiele z tego, co robisz, nawet na telefony komórkowe dzisiaj może być
śledzone naprawdę każdy, między ty i punkt B.
>> A Ajax, recall.
Patrzyliśmy tylko na chwilę na to, chociaż już przy jej
pośrednio w pset8 ponieważ używasz Google Maps, a ponieważ jesteś
za pomocą Google Earth.
Google Maps i Google Earth nie pobierz cały świat do swoich
pulpitu, oczywiście, chwili załadowania pset8.
To tylko pobiera plac świata lub większy kwadrat ziemi.
A potem za każdym razem rodzaj kierowania z zakresu można zauważyć -
zwłaszcza jeśli wolnego połączenia - można może zobaczyć jakiś szary chwilę
lub nieco rozmytych obrazów, jak pliki do pobrania komputerowe więcej takich płytek,
więcej takie obrazowanie z światowym lub ziemia.
>> A Ajax jest na ogół technika przez które strony są to robić.
Gdy trzeba więcej mapie, twój przeglądarka będzie korzystać Ajax, który jest
nie sam język lub technologii, to tylko technika.
To wykorzystanie JavaScript iść po więcej informacji z serwera, który
pozwala przeglądarce aby go dostać, co jest do wschód lub co jest na zachodzie
co jest obecnie inaczej wykazanie w tej mapie.
Więc to jest temat, który wielu z was napotka bezpośrednio lub
pośrednio przez ostatecznych projektów, jeśli zdecydować się na coś, co jest
podobnie dynamiczny To ciągnięcie danych z jakiejś trzeciej stronie.
>> Więc mamy naprawdę ekscytujące środę przed siebie.
Quiz jeden, informacje, dla których jest on CS50.net już.
Wiesz, że nie będziesz sesja recenzja w najbliższy poniedziałek o godzinie 05:30.
Data i czas są już wysłane na CS50.net w które O kartce.
I daj nam znać ciebie Wszelkie pytania.
Pset8 tymczasem już jest w Twoich rękach.
>> I niech mi tylko rozwiązać jedną FAQ uratować ludzi, trochę stresu.
W przeważającej części dużo gadać widzimy w godzinach pracy i dużo
robaki widzimy zgłoszonych na omówienia są rzeczywiście błędów w kodzie studenta.
Ale kiedy już napotkał coś jak Ziemia Wtyczka Google upaść
lub nawet nie pracować i jesteś pewni, to nie ty, to nie jest
[? chamad?] problem, że nie jest błąd można wprowadzić do
Kod dystrybucji.
>> Uświadom sobie, po prostu FYI -
to jest coś w rodzaju planu Z -
że ostatni raz użyliśmy tego problemu ustawić i wpadliśmy w podobny
kwestie, jest linia kodu w service.js, że w istocie jest to,
, który mówi, skręcić budynków dalej.
A oni obejść ostatnim czasie zrobił to na znowu przypadki rogu, gdzie
studentów po prostu nie mógł się cholernie co do pracy to zmienić true na false
w tym jednej linii kodu.
A znajdziesz go, jeśli szukać przez service.js.
>> Nie polecam tego, ponieważ będzie stworzenie najbardziej surowym krajobrazie
z Cambridge, Massachusetts.
To dosłownie spłaszczyć świat tak, że wszystko, co widzę, to nauka
towarzysze i asystenci kursu na horyzont, a nie budynki.
Ale sobie sprawę, bez względu na przyczynę Google Earth wtyczki nadal wydaje się być
buggy lat później, więc to może być Twój fail zapisać.
Tak więc, zamiast uciekać się do łez, resort włączeniem budynków off, jeśli wiesz,
to plug-in to nie współpracuje na komputerze Mac lub PC.
Ale to znowu ostateczności, jeśli na pewno to nie jest błąd.
>> Więc hackathon.
Kilka zapowiedziach tylko aby dostać się podekscytowany.
Mieliśmy sporo potwierdzenia udziału.
I tak malować obraz tego, co czeka, myślałem, że ci nieliczni
sekundy przypomnieć tego obrazowania od zeszłego roku.
>> [MUZYKA]
>> DAVID J. MALAN: Poczekaj, oh.
Mamy nawet nasze dosłowne CS50 transfer.
>> [MUZYKA]
>> DAVID J. MALAN: Więc to, co czeka ty w zakresie hackathon.
A to będzie okazja, aby być jasne, a nie na rozpoczęcie finału
projekty, ale do dalszej pracy *** Twoje ostateczne projekty obok
koledzy i personel i wiele innych potraw.
I znowu, jeśli nie śpisz w 05:00 weźmiemy w dół drogi w IHOP.
>> Fair CS50, w międzyczasie, jest kulminacyjnym dla całej klasy, w których
przyniesiesz swoje laptopy i przyjaciół, może nawet rodziny do pokoju na terenie kampusu
w dół ulicy do wykazania swoich projektów na laptopach, na wysokich stołach
jak to z dużą ilością jedzenia i przyjaciół i muzyka w tle,
a także nasi przyjaciele z branży.
Firmy, takie jak Facebook i Microsoft i Google i Amazon i bukiety
inni tak, że jeśli interesuje tylko słysząc o świecie rzeczywistym lub
rozmawiając z ludzi o prawdziwym świecie staż lub pełne możliwości czasowe,
wiem, że niektórzy z naszych znajomych z przemysłu będzie.
I kilka zdjęć możemy farby są następujące.
>> [MUZYKA]
>> DAVID J. MALAN: W porządku.
Tak, że to jest CS50 fair.
Więc teraz przystąpić do opowiedzenia historii że naprawdę mam nadzieję, że będzie upoważniają
na takie rzeczy jak ostatecznych projektów.
Tak więc jednym z niewielu małych rzeczy do materiału siewnego swoim umysł, albo za końcowe projekty
czy tylko ogólnie na projekty, które możesz zdecydować się na zajęcia po
Oczywiście, to wszystko udokumentowane na manual.cs50.net gdzie CS50
obsługi, gdzie mamy wiele techniki udokumentowane.
>> I to jest właśnie oznaczenie skrótowe mówiąc, że nie istnieje w
świat rzeczy nazywane SMS na e-mail bramy, która jest fantazyjny sposób
mówiąc, nie ma serwerów w świecie że wie, jak do konwersji wiadomości e-mail do
wiadomości tekstowych.
Więc jeśli do ostatniego projektu, który ma stworzyć jakiś telefon tematyczne
usługa, która pozwala na poinformowanie znajomych lub użytkowników do wydarzeń na terenie kampusu
lub co jest serwowane w sali D w nocy lub takie alert funkcja,
wiem, że to jest proste, jak wysłanie e jak phpmailer którym
mogły stosować do pset7 lub widzieliśmy krótko, tydzień temu, aby
adresy, takie jak ta.
>> I rzeczywiście można tekst tego zakładając Twój przyjaciel ma nieograniczone SMS-ów
planu i nie chcesz ich ładowania 0,10 dolarów.
Ale jeśli wysłać e-mail do znajomego którzy wiesz mieć Verizon lub
AT & T za pomocą Gmaila i po prostu wysłanie go do ich numer telefonu, bez względu na
sub domeny istnieje, uświadamia, wyśle wiadomość tekstową.
>> Ale to jest jedna z tych rzeczy uważać.
Jeśli troll przez zeszłorocznego CS50 filmy Myślę, że to, przerażające,
straszne, straszne błąd napisałem w kodzie skończyło się na wysłanie o 20.000 tekst
żyć do naszej wiadomości uczniów w klasie.
I tylko dlatego, że ktoś zauważył, że były one coraz wiele tekstu
wiadomości ze mną nie mam środków, by szybko trafić sterowania C
i zatrzymać ten proces.
Kontrola C, pamiętacie, jest twoim przyjacielem w przypadkach, o nieskończonej pętli.
Więc uważaj moc właśnie podano do Ciebie, a nieodpowiedzialnie, najbardziej
może, na podstawie własnego doświadczenia.
Ale to jest w internecie i ma byłem tam przez jakiś czas.
>> Dobrze.
Więc textmarks.com.
Więc to jest strona internetowa.
I jest kiście innych tam jak dobrze, że mamy rzeczywiście używane
jako klasa lat, aby móc do odbierania wiadomości tekstowych.
Niestety, wysyłania wiadomości tekstowych jest proste jak wysyłanie wiadomości e-mail, takich jak to.
Odbiór jest trochę trudniej, zwłaszcza jeśli chcesz mieć jeden z
te sexy krótkich kodów, które tylko pięć lub sześć cyfr.
>> Tak na przykład, przez lata byłeś możliwość wysyłania wiadomości tekstowych - i
Można spróbować, jak również -
do 41.411.
I to jest numer telefonu do ten konkretny startup.
A jeśli wysłać wiadomość do 41411 -
Ja po prostu piszę to tutaj, tak 41411 -
, a następnie wysłać do nich wiadomość jak SBOY dla Chłopca transfer.
A następnie wpisz w coś jak mather quad.
Więc wysłać tę wiadomość tekstową do tego numeru telefonu.
W ciągu kilku sekund powinno wrócić Odpowiedź z CS50 Shuttle
Serwis Boy, który jest transfer Oprogramowanie do planowania, że mieliśmy się
istnieje w sieci od jakiegoś czasu.
I odpowie na można za pomocą wiadomości tekstowych.
>> Bo to, co zrobiliśmy w klasie, jak programista, jest napisanie oprogramowania,
skonfigurowany darmowe konto z tekstem Znaki nasłuchiwać wiadomości tekstowe wysyłane
do SBOY w tej liczbie.
A to, co robią jest do przodu tych, text wiadomości na naszej stronie internetowej na bazie PHP jako
Parametry HTTP mówiąc tutaj.
Użytkownik z tym numerem telefonu Otrzymujesz tę wiadomość tekstową.
Czy się z nim co chcesz.
>> Więc napisał program, który po odbieranie ciąg jak SBOY Mather
quad, możemy analizować je.
Mamy dowiedzieć się, gdzie obowiązuje są między słowami.
A my jako klasa zdecydować Jak odpowiedzieć.
A jeśli spróbujesz, że teraz, na przykład, powinieneś zobaczyć, poprzez odpowiedzi w
Kilka sekund, kilka następnych transfer będzie od Mather do quad jeśli istnieje.
I nie ma innych przystanków.
Możesz wpisać w Boylston lub inne takie zatrzymuje się na terenie kampusu, a powinien
uznają te słowa.
>> Więc parse.com.
Jest to kolejny serwis, który byliśmy wskazując na pewne studentów na
Ostateczne projekty, które jest wspaniałe w to, że jest bezpłatny dla
rozsądnym użytkowania.
A jeśli pójdę do parse.com zobaczysz że jest to alternatywa
rzeczywiście o coś własne bazy danych MySQL.
I szczerze mówiąc, to tylko rodzaj hipnotyzujący.
To jest to, co znajduje się wewnątrz Chmura, nawet w pochmurny dzień.
>> Więc parse.com pozwala zrobić kilka ciekawych rzeczy.
I nie ma innych alternatyw do tego tam.
Na przykład, można z nich korzystać jako powrót bazy końcowego.
Więc nie musisz mieć firma hostingowa.
Nie musisz mieć bazy danych MySQL.
Zamiast tego można użyć ich koniec pleców.
>> Jeśli robisz projekt mobilnej Android lub iOS czy jak, wiem, że
istnieje takie rzeczy jak wypychania usług więc można wcisnąć powiadomienia do znajomych
lub swoich użytkowników ekrany główne.
A potem kilka innych funkcje, jak również.
>> Więc jeśli jesteś zainteresowany, sprawdź to strony internetowe i stron internetowych, takich jak nimi
po prostu zobaczyć, jak wiele innych narodów " Ramiona można stać na do
naprawdę fajne oprogramowanie własne.
>> Teraz w zakresie uwierzytelniania, FAQ, to jak to się ma zagwarantować
że użytkownicy są ludzie na kampusie, Studentów Harvardu lub wydziału lub pracowników?
Więc CS50 ma własną autoryzację Usługa o nazwie CS50 ID.
Idź do tego adresu URL i można zawęzić Strona internetowa dla każdego z Harvardu
ID, na przykład.
Więc wiemy, że możemy sobie z tym poradzić.
Wy nie powinien być w tym biznesie mówić, jak się ID Harvard?
Jaki jest twój PIN Harvard?
Pozwól, że teraz coś z tym zrobić.
Zrobimy wszystko.
I co my oddać to czyjeś nazwisko i adres e-mail, ale
nie jest niczym czuły.
>> Aplikacji na urządzeniu mobilnym, może być się do pracy na urządzeniach mobilnych, ale
to nie dość przeznaczone do tego.
Więc koniec wydatków nie trywialne Czas zrobić.
Więc chciałbym zniechęcić że droga do teraz.
To jest tak naprawdę przeznaczony dla aplikacjach internetowych.
>> Więc hosting.
Więc jeśli nie widać na Kurs jest strona główna -
a tu, gdzie zaczniemy opowieść -
hosting jest o płacenie za zazwyczaj service, gospodarzem którego właścicielem serwera
przez kogoś innego w internecie, który ma Adres IP, a następnie połóż
portal o nim.
I zwykle daje maila kont i baz danych
i inne takie cechy.
>> Wiesz, że jeśli nie chcesz, aby rzeczywiście płacić za takie, przejdź do tego adresu URL
tam i CS50 faktycznie ma non-profit Konto, które można wykorzystać do
faktycznie nie ma http://projekt wewnątrz urządzenia
do ostatecznego projektu.
Jeśli faktycznie ma to być coś jak, isawyouharvard.com,
można kupić tę nazwę domeny - chociaż nie, że zwłaszcza jeden - i
następnie można go o umieszczenie go na publiczny serwer web, jak możemy oferować
wy przez tutaj.
>> I rzeczywiście, jeśli nieznane, jeśli nigdy nie byli w
isawyouharvard.com, jeden, tam.
Ale dwa, wiem, że to był młody Nazwa przez kobiety Tej Aby Toor Too dwa
lat temu, trzy lata temu, który był CS50 absolwenci, którym zdarzyło się dzień lub dwa
przed CS50 fair wysłany e-mail do jej listy domu i voila.
Dwa dni później przez CS50 targów, miała setki użytkowników na pełzanie na
siebie na jej stronie internetowej i mówią, że widzieli, jak
ją lub go na terenie kampusu.
Więc to jest jedna z ulubionych CS50 jest historie sukcesu
CS50 projekt końcowy.
>> Więc jak go o umieszczenie na stronie internetowej jak to w internecie?
Cóż, jest kilka takich składniki tutaj.
Więc jeden, musisz kupić nazwę domeny.
Są miejsca w pęczki Świat, z którego można
kupić nazwę domeny.
I tak na przykład, że jedna zaleca tylko dlatego, że jest popularny
i to jest tanie nazywa namecheap.com.
Ale możesz iść godaddy.com i dziesiątki innych tam.
Możesz przeczytać na opinie.
>> Jednak w większości przypadków tak nie jest znaczenia, od którego
kupić nazwę domeny.
I różnią się ceną i różnią się one przyrostkiem.
Przyrostki podobne. Com,. Net, . Org,. Io,. Tv, te
w rzeczywistości różnią się ceną.
Ale gdybyśmy chcieli zrobić coś jak cats.com możemy przejść do tej strony,
kliknij przycisk Szukaj.
Przypuszczalnie ten pochodzi.
Ale widocznie catsagainst.com jest dostępna.
pluscats.com jest dostępny.
Lovecats, catscorner, dampcats.net.
Wszystko to mam nadzieję, że pseudo generowane losowo.
Jeśli chcesz cats.pw, 1500 dolarów tylko, która jest nieco szalony.
Więc ktoś naprawdę porwał wszystkie The Cat powiązane nazwy domen tutaj,
różnych cenach.
>> Tak na marginesie, zobaczmy.
Kto ma cats.com?
Wiedz, że macie w Państwa dyspozycji dość
wyrafinowane komendy teraz.
Jak mogę pisać dosłownie kto jest cats.com?
I ze względu na sposób Internet jest skonstruowany rzeczywiście można zobaczyć, kto
zarejestrował tego.
Widocznie ta osoba jest [niesłyszalne] za pomocą usługi proxy.
Więc kto jest właścicielem cats.com nie chce świat wiedział, kim są.
Więc już zarejestrowane, jeśli przez jakiś przypadkowy serwis prywatności.
Ale czasem faktycznie uzyskać rzeczywistych właścicieli.
>> A to znaczy, zwłaszcza jeśli jesteś prowadzi jakieś starcie i ty
naprawdę chcesz trochę nazwę domeny i jesteś skłonni zapłacić komuś za
go, można dowiedzieć się kontakt Informacje o tym, że sposób.
>> Ale także interesujące jest to.
Pozwól mi przejść do tej części.
Tak to jest, że samo wyjście.
I to jest po prostu tandetny.
Więc najwyraźniej cats.com może być Ciebie za odpowiednią cenę.
Ale co ciekawe tutaj jest to, że serwery nazw -
jest to całkowita nadużywanie co nazwa Serwer ma być - Twoje imię
Serwer ma być thisdomainforsale.com.
Jeśli rzeczywiście wybrać coś -
niech wybrać coś trochę więcej uzasadniony, jak, kto jest google.com,
i przejdź tutaj.
Więc tutaj -
co się stało?
Ciekawe.
Za kim jest -
trzymajmy go bardziej niski klucz.
>> Kto jest mit.edu?
OK.
Jest to pomocne.
Więc to jest to, co miałem nadzieję.
Zgodnego z prawem korzystania z usługi DNS.
Serwery nazw tutaj wskazać dodaje.
Jest to sposób na powiedzenie, MIT, gdy ktoś na świecie, wszędzie tam, gdzie
są rodzaje w mit.edu i hity Enter, Twój laptop, czy Mac lub PC, będzie
jakoś w końcu dowiedzieć się, że ludzi na świecie, którzy wiedzą, co
Adres IP jest dla mit.edu lub którykolwiek z subdomen w mit.edu lub którykolwiek z
serwery te tutaj - i faktycznie wygląda infrastruktura MIT jest
dość solidne, jak można by oczekiwać.
Mają wiele nazw serwerów co jest dobre dla zwolnienia.
I rzeczywiście, wydaje się być ogólnie rozprowadzane po całym świecie.
Kilka z tych, wydają się być w Stanach Zjednoczonych, para w Azji, jeden w Europie, dwa
w innym miejscu.
>> Ale chodzi o to, że DNS byliśmy biorąc za pewnik, a
ogólnie opisane jako wielki tabeli programu Excel że ma adresy IP i domeny
nazwy jest rzeczywiście dość wyrafinowany hierarchiczna usługa tak, że w
Świat jest naprawdę skończona liczba serwerów, które w istocie wiedzą, gdzie
wszystkich. coms są lub wszystkich na. sieci są, wszystkie
. Orgs są, i tak dalej.
>> Więc kiedy iść dalej i kupić domenę nazwa od miejsca jak nazwy tani lub
Go Daddy lub jakiejkolwiek innej stronie internetowej, jeden z kluczowe kroki, które będziesz musiał zrobić
Ci, jeśli to zrobisz, nawet na nasze ostateczne Projekt jest powiedzieć rejestratora
od kogo kupujesz domenę Nazwa, która w świecie wie swoje
Adresy IP strony, który serwery nazw są.
>> Więc jeśli używasz, na przykład CS50-tych hosting konta - tak się mieć
to konto przez dreamhost.com która jest
popularne Web Hosting Company -
to ci powiedzą, że należy kupić Twoja domena i powiedzieć światu, że
Wasze domeny na serwer nazw jest ns1.dreamhost.com, ns2.dreamhost.com,
i ns3.dreamhost.com.
>> Ale to jest to.
Zakup nazwę domeny oznacza, dając im własności pieniędzy i coraz of
domeny, ale jest to bardziej jak wynajem chociaż.
Otrzymasz go przez rok, a potem rachunek Ci recurringly dla reszty
Twoje życie, aż zostanie anulowane nazwa domeny.
A potem powiedz im, kto serwery nazw są.
Ale wtedy skończysz z rejestratorem.
I tam będziesz oddziaływać tylko z Twoja firma hostingowa, która
w przypadku CS50 będzie się DreamHost.
Ale znowu, więcej dokumentacji będzie dostarczone do Ciebie, jeśli zdecydujesz się na
że trasa.
>> Więc jeśli to zrobić po tych przedmiotów koniec, po prostu guglanie hosting
firma zmieni się tysiące opcji.
A ja generalnie zachęcam do zapytaj znajomych, którzy mogliby używane
Spółka przed jeśli poleca ich i było to dobre doświadczenie.
>> Ponieważ jest dużo latać w nocy internetowej firmy hostingowej, jak facet w
piwnicy z serwerem że ma adres IP.
Ma trochę więcej pamięci RAM i dysk twardy miejsca i po prostu sprzedaje hosting
rachunki, chociaż nie ma mowy, że Serwer może obsługiwać setki
użytkowników lub tysiące użytkowników.
Więc sobie sprawę, otrzymasz za co płacisz.
>> Na jakiś czas na mojego osobistego domu strona - i to było całkowicie do przyjęcia
dlatego, że, jak, dwa odwiedzający miesięcy -
I płacił, jak, 2,95 dolarów miesięcznie.
I jestem pewien, że to było w czyjejś piwnicy.
Ale znowu, nie dostaniesz koniecznie żadnych gwarancji uptime lub
skalowalność.
Więc jeszcze raz, jesteś zazwyczaj szuka na coś więcej niż tylko to.
>> A co z SSL?
Więc co SSL służy?
Załóżmy teraz zacząć kierować się wskazówki bezpieczeństwa i rzeczy, które
może nam zaszkodzić.
Zwłaszcza, venture na własną rękę.
>> Co SSL, lub co SSL służy?
Bezpieczeństwo, OK.
Więc to jest wykorzystywane do zabezpieczenia.
Co to znaczy?
Więc to skrót od Secure Sockets Layer.
I jest wskazany przez URL , który rozpoczyna się od https://.
Wielu z nas prawdopodobnie nigdy nie wpisany https://, ale będziesz często, że
Twoja przeglądarka jest przekierowywana z HTTP do HTTPS tak, że wszystko tam jest
po szyfrowane.
>> FYI, przy użyciu protokołu SSL wymaga zazwyczaj, że masz unikalny adres IP.
I zazwyczaj uzyskać unikalny adres IP trzeba zapłacić hosting
spółek kilka dolarów więcej miesięcznie.
Więc sobie sprawę, jest to bardzo łatwe realizowane te dni kupując IP
adres i skup co zwany certyfikat SSL.
Ale świadomość, że nie pochodzi w pewnym dodatkowych kosztów.
I, jak postaramy się przestraszyć się tylko bit, to nawet nie koniecznie 100%
chroni cokolwiek to jest starasz się chronić.
>> Tak dla bezpieczeństwa, myślałem I dalszy zrobić coś w rodzaju przypadkowej segue tutaj.
Jak można się dowiedzieć od wykładu CS50 jest filmy, nasz zespół produkcyjny został
wentylator jak mam brać naprawdę ładne photography kampusu i antena
photography ostatnio.
Jeśli kiedykolwiek spojrzeć w górę i zobaczyć coś latające z małym aparatem,
może to być rzeczywiście CS50.
A ja myślałem, że akcja minutę część materiału zespół
zebranych, szczególnie gdy patrzymy na semestr letni i na jesieni.
Jeśli ktoś z was ma talent do photography, Filmografia, chcielibyśmy
kocham cię zaangażować za kulisami.
Ale o tym szczegółowo w tygodniu.
>> [MUZYKA]
>> DAVID J. MALAN: Okazuje się, że jest miniaturowy golf na szczycie
stadion, że nigdy nie wiedział o.
>> [MUZYKA]
>> DAVID J. MALAN: Możesz zobaczyć Zarys warkotem tam.
>> [MUZYKA]
>> DAVID J. MALAN: Najlepsze tutaj jest, oglądać jogger po lewej.
>> [MUZYKA]
>> DAVID J. MALAN: Kolejny przykład na to, co można zrobić z technologii, która jest
tylko stycznie, szczerze mówiąc, związane z bezpieczeństwem.
Ale myślałem, że będzie więcej droga zabawa po prostu mówiąc, bezpieczeństwo.
Zobaczmy więc, jeśli nie możemy was przestraszyć teraz się nie tylko trochę mało
zagrożenia, ale również podstawowe zrozumienia, co te zagrożenia
jest tak, że do przodu można zdecydować, czy i jak się bronić
się przed takimi rzeczami i na najmniej być świadomi z nich, jak
podejmowania decyzji o tym, czy nie wysłać tego maila, czy do zalogowania
w tej stronie, nawet w używać, kafejkę w bezprzewodowy dostęp do Internetu
punkt tak, że wiesz, co zagrożenia są rzeczywiście wokół ciebie.
>> Więc Jonathan dalej coś jak to w poniedziałek.
Miał zrzut ekranu okna.
Ten jest z komputerem Mac.
Ilu z was kiedykolwiek zainstalowany oprogramowania na komputerze Mac lub PC?
Oczywiście każdy.
Ilu z was dały dużo myśli do wpisywania hasła
po pojawieniu się monitu?
To znaczy, nawet nie wiem, szczerze mówiąc.
Tak więc para z nas są dobre w paranoję.
Ale za co jesteś właściwie tu robi.
>> Na typowym komputerze Mac lub PC masz konto administratora.
I zazwyczaj jesteś tylko jeden przy laptop przynajmniej te dni.
Więc konto, Malan lub JHarvard czy cokolwiek to jest, jest
konto administratora.
A co to znaczy, masz wykorzenić dostęp do komputera.
Można zainstalować wszystko, co chcesz, usunąć wszystko co chcesz.
>> I zwykle w tych dniach, z powodu decyzje projektowe z dostepnych lat temu,
sposób najbardziej oprogramowanie zostanie zainstalowane jest jako administrator.
I nawet jeśli komputer Mac lub PC ma co najmniej zdobyć wystarczająco inteligentny ponad
roku z najnowszych wcieleń Mac OS i Windows, aby nie uruchomić
nazwa użytkownika domyślnie jako administrator, podczas pobierania niektórych
Nowy program z internetu i spróbuj zainstalować go, jesteś prawdopodobnie będzie
zostać wyświetlony monit o podanie hasła.
Ale haczyk jest w tym momencie, że jesteś dosłownie przekazanie kluczy do
komputer, w celu co random Program po prostu pobrać i
co pozwala na zainstalowanie co chce.
>> I jak Jonathan wspomniał, sprawę że może powiedzieć, że chce
instalacji oprogramowania, które dbają o, Spotify czy iTunes lub cokolwiek
jest to, że próbujesz zainstalować.
Ale jesteś dosłownie ufając autorowi lub autorzy oprogramowania do
tylko to, co program ma robić.
>> Ale nie ma absolutnie nic zatrzymując większość programów na najbardziej
systemy operacyjne od usuwania plików, z przesłaniem ich do niektórych spółki
strona www, z trollingu wokół, do szyfrowania rzeczy.
I znów mamy rodzaj budowy Cała infrastruktura na
lata na zaufaniu.
I tak okazuje się, że właśnie było ufając przypadkowe osoby i przypadkowe
przedsiębiorstw w przeważającej części.
>> A Jonathan wspomniał też, czasami spółki te same w sobie są rodzajem
świadomie złośliwy, wszystko w porządku?
Sony złapany dużo Flack kilka lat temu do instalacji, co się nazywa
Zestaw rootkit na komputerach ludzi bez ich wiedzy.
A sedno jest to, że kiedy kupiłem płytę na przykład, że
nie chce, aby być w stanie skopiować lub zgrać muzykę off, by CD
instalacji, bez Twojej wiedzy, rootkit na komputerze.
Rootkit właśnie sposób oprogramowanie, które działa jako administrator, które potencjalnie
robi złe rzeczy.
>> Ale wśród tych rzeczy to coś nie została ona ukryła się.
Więc niektórzy z was mogą być dość bystry z komputerem i wie, dobrze,
można po prostu otworzyć Menedżera zadań lub Monitor aktywności i mogę spojrzeć na wszystko
z arcanely wymienionych programów , które są uruchomione.
A jeśli coś nie wygląda podejrzanie Ja po prostu go zabić lub usunąć.
Ale to, co rootkit zrobił.
To w zasadzie powiedział, jeśli uruchomione zadanie Menedżer, nie pokazują się.
>> Tak więc oprogramowanie było.
I tylko wtedy, gdy naprawdę wyglądał trudno nawet można go znaleźć.
A stało się to w imię ochrony przed kopiowaniem.
Ale proszę sobie wyobrazić, co może było zrobić inaczej.
>> Teraz w zakresie ochrony siebie.
Wiele witryn internetowych są cudownie łaskawy, gdyż umieścić je
ikony kłódki na swojej stronie internetowej, które Oznacza to, że strona jest bezpieczna.
To od bankofamerica.com rano.
Więc co to mała ikonka kłódki nie oznacza, obok przycisku Zaloguj się?
>> Absolutnie nic.
To oznacza, że ktoś wie, jak korzystać Photoshop zrobić zdjęcie
ikona kłódki.
Spodobać całkiem dosłownie, że jest to tam ma być pozytywny
sygnał dla użytkownika, takich jak, ooh, bezpieczną.
Mam zaufać tej stronie i teraz wpisz w mojej nazwy użytkownika i hasła.
I to było dla konwencjonalnych lat, dopiero w tym rano.
>> Ale pod uwagę nawyki, które to się robi nas w.
Rozważmy ukrytą wiadomość, że wszystkie z tych banków w tym przypadku być
wysyłając do nas za rok.
Jeśli widzisz kłódkę, a następnie zabezpieczyć.
Wszystko w porządku?
>> Więc jak można nadużywać tego systemu zaufania, jeśli jesteś zły?
Załóż kłódkę na swojej stronie internetowej, a Logicznie rzecz biorąc, użytkownik zostanie
uwarunkowane lat zakładać kłódka oznacza bezpieczne.
A może to rzeczywiście być bezpieczne.
Możesz mieć cudownie bezpieczne SSL połączenie HTTPS
fałszywa strona. com.
I nikt inny na świecie nie może zobaczyć że masz zamiar przekazać go lub ją
Twoja nazwa użytkownika i hasło do konta.
>> Ten jednak, być może, jest trochę bardziej pocieszające.
Więc to jest zrzut ekranu z góry z mojej przeglądarce to rano na
bankofamerica.com.
I tu też możemy zauważyć mają ikonę kłódki.
Co to oznacza w tym kontekście, w Chrome przynajmniej?
>> Tak więc jest to teraz przy użyciu protokołu SSL.
Więc to jest rzeczywiście lepsze rzeczy.
A fakt, że Chrome jest uczynienie go zielony ma na celu zwrócenie naszej uwagi
z tym, że jest to nie tylko przez protokół SSL.
Jest to firma, że ktoś się nie sprawdziła, jest rzeczywiście
bankofamerica.com.
A to oznacza, że Bank of America, przy zakupie tzw SSL
Świadectwo, zasadniczo duży random, nieco liczb losowych, które wdrażają
bezpieczeństwo dla nich, zostały one zweryfikowane przez niektóre niezależny
partia, która mówi, yep.
To jest rzeczywiście prezes Banku Ameryka próbuje kupić certyfikat.
Chrome będzie zatem nadzieję, że Instytucja certyfikująca i powiedzieć w
zielona, to bankofamerica.com.
I Bank of America po prostu płaci mało sto dolarów za to, albo kilka
tysięcy w przeciwieństwie do kilkadziesiąt dolarów.
>> Ale i tu, jak wielu z was kiedykolwiek zachowywał się inaczej, bo
URL w przeglądarce jest zielony zamiast czarnego?
Prawda?
Tak więc para z nas.
I to jest dobre, aby być paranoikiem.
Ale nawet wtedy, ci z was, którzy jeszcze zauważysz te rzeczy, czy rzeczywiście
zatrzymać zalogowaniu się na inny sposób bezpieczny stronie internetowej, jeżeli URL nie jest zielony?
W porządku, więc chyba nie, prawda?
Co najmniej większość z nas, jeśli nie znajduje się w zielonym, najprawdopodobniej masz po prostu się
tak być, cokolwiek.
Tak jak chcę się zalogować do serwisu.
Dlatego tu jestem.
Idę się zalogować jednak.
>> Tak na marginesie, Chrome jest trochę lepiej o tym.
Ale jest wiele przeglądarek jak Firefox na przykład, co najmniej na
jakiś czas, jeżeli ikona kłódki jest, rzeczywiście można umieścić dowolny
icon własnych.
Pozwól mi zobaczyć, co najnowsza wersja z Firefox wygląda.
Więc jeśli idziemy do CS50.net.
>> OK, tak, że już coraz lepiej, jak również.
Co przeglądarek używanych zrobić to jak, Oto na przykład [? SAAS jest?]
grzebień tutaj.
To tak zwane ulubionych ikona na stronie internetowej.
Lat temu -
faktycznie nie tak dawno temu - że mało tarcza byłaby prawo
tutaj obok adresu URL.
Bo jakiś geniusz postanowił, że po prostu wyglądają bardzo elegancki mieć
Twój graficzny prawo logo obok adresu URL.
I projektowanie mądry, że faktycznie jest dość przekonujące.
>> Więc co zły początek facet robi?
Zaczęli zmieniając ich ulubiony ikony lub ich domyślne ikony
strona główna się nie grzebień ale kłódki, który miał
absolutnie nie ma znaczenia.
Inne niż ich ulubionej ikony została kłódka nie miał
Wskazania bezpieczeństwa.
>> Więc są tu lekcje Kilka myślę.
Jednym jest to, że nie są w rzeczywistości niektóre Mechanizmy dla dobrych intencjach
uczy nas użytkowników o bezpieczeństwo nawet gdybyś nie był nawet świadomy tego, co zielone
myśli lub co nawet HTTPS myśli.
Ale jeśli te mechanizmy dostać nas w zły nawyk stron ufających
kiedy widzimy te pozytywne sygnały, Są bardzo łatwo nadużywane jak widzieliśmy
przed chwilą coś głupie jak ten.
>> Więc przychodzi do sesji porwanie grać, jak powiedzieliśmy wcześniej,
z plików cookie na przykład.
I co to właściwie znaczy?
Cóż z porywaniem sesji to wszystko o kradzież czyichś cookies.
Więc jeśli otwarcie Chrome tutaj, na instancji, a ja otworzyć Inspektora
tu i idę do Zakładka Network -
i zrobiliśmy tego wcześniej -
i idę do czegoś http://facebook.com Enter, cała
Kilka rzeczy idzie po ekranie ponieważ wszystkie obrazy i CSS i
Pliki JavaScript.
>> Ale jeśli spojrzeć na ten jeden tutaj zauważyć, że Facebook jest rzeczywiście sadzenia jednego
lub więcej plików cookie na moim Przeglądarka tutaj.
Tak więc są to głównie strony znaczki, które reprezentują mnie.
A teraz mam nadzieję, że moja przeglądarka przedstawić to ponownie i ponownie, gdy
Ponownie odwiedzimy tę stronę.
Ale to tylko jest bezpieczna, powiedzieliśmy Kilka tygodni temu, jeśli używasz SSL.
>> Ale nawet sam może SSL być zagrożona.
Zastanów się przecież sposób SSL prac.
Jeżeli Twoja przeglądarka połączy się zdalnie serwer poprzez https://, długie opowiadanie,
kryptografia jest zaangażowany.
To nie jest tak proste, jak Cezara lub Visionaire lub nawet DES, DES z
, podczas gdy już w pset2.
To bardziej wyrafinowana.
To się nazywa kryptografii.
Ale naprawdę duży i naprawdę losowe Cyfry używane są do Scramble
informacji między punktem A, ty, i punkt B, jak facebook.com.
>> Ale problemem jest to, jak wielu z nas ponownie kiedykolwiek wpisz https:// na początku
nasze połączenie strona w tym trybie bezpiecznym?
Chodzi mi o to, jak wielu z was nawet Rodzaj http://facebook.com?
Dobrze, jeśli nie, lubię, witam.
Nie musisz tego robić więcej, prawda?
Przeglądarka będzie zrozumieć.
>> Ale większość z nas rzeczywiście wpisz facebook.com.
Bo jeśli jesteśmy przy użyciu przeglądarki, Przeglądarki zdobyć wystarczająco inteligentny, by
2013 założenie, jeśli używasz przeglądarki, wpisać adresu,
Prawdopodobnie nie ma dostępu do jej poprzez e-mail lub wiadomości błyskawicznej.
To znaczy, HTTP i port 80.
Konwencje te zostały przyjęte.
>> Ale jak działa przekierowanie?
Cóż, zauważyć, co się tutaj dzieje.
Jeśli wrócę do Chrome -
i zróbmy to w trybie incognito Tryb, aby wszystkie moje
Ciasteczka są wyrzucane.
I pozwól mi odejść, żeby, ponownie, facebook.com.
I zobaczymy co się stanie.
>> Przypomnijmy, że pierwszy wniosek był rzeczywiście tylko na facebook.com.
Ale to, co było odpowiedzią, że mam?
To nie było 200 OK.
Było to 300 lub 301, który jest przekierowanie mówi mi, aby przejść do
http://www.facebook.com, który jest gdzie Facebook chce mi iść.
Ale jeśli spojrzymy na następne żądanie, i widzieliśmy tego wcześniej,
zauważyć, co ich druga odpowiedź jest.
W szczególności, że chcą mnie teraz przejdź do wersji SSL Facebook.
>> Więc tutaj jest okazja.
To wspaniale przydatna funkcja się tylko z sieci i HTTP.
Jeśli użytkownik chce mi jak Facebook aby pozostać na bezpiecznej wersji ich
strona www, to świetnie.
Będą przekierowanie mnie do siebie.
I tak nie mam nawet Pomyśl o tym.
>> Ale co, jeśli między punktem A i B, między tobą i Facebook, istnieje pewne
bad guy, jest pewien system administrator w Harvardzie, który jest ciekawy
zobaczyć kim są twoi przyjaciele.
Albo istnieje jakiś -
lat temu, to kiedyś wydawać szalony -
ale jest kilka jednostek samorządu terytorialnego, jak NSA, którzy rzeczywiście interesują
w kim jesteś szturchanie na Facebooku.
Gdzie jest możliwość istnieje?
Cóż, tak długo, jak ktoś ma wystarczająco dużo techniczne doświadczonych i mają dostęp
do rzeczywistej sieci przez Wi-Fi lub inne fizyczne kabel,
Co mogą zrobić?
>> Dobrze, jeśli są w tej samej sieci, jak ty i oni wiedzą coś na temat
TCP / IP i adresów IP i DNS i jak wszystko to działa, co zrobić, jeśli to
człowiek w środku, co jeśli Narodowy Agencja Bezpieczeństwa, cokolwiek to
może być, ale co, jeśli po prostu tego podmiotu reaguje szybciej niż Facebook, aby
żądanie HTTP i mówi: oh, jestem Facebook.
Idź przed siebie, a tu HTML na facebook.com.
>> Komputery są cholernie szybko.
Można więc napisać program uruchomiony na Serwer jak nsa.gov że gdy
rozpatruje wniosek od Ciebie dla facebook.com, bardzo szybko za
sceny dostaje prawdziwego podejmowanie facebook.com doskonale [? owskiej?] bezpieczne
Połączenie SSL między NSA oraz między Facebook, że uzyskanie HTML bardzo
pewnie do strony logowania, a następnie Serwer NSA po prostu reaguje na Ciebie
ze strony logowania facebook.com.
>> Teraz, jak wielu z was nawet nie zauważy że używasz Facebooka przez HTTP
jeszcze w tym momencie, ponieważ masz przypadkowo podłączony do nsa.gov i
nie Facebook?
URL nie zmienia.
Wszystko to jest robione za kulisami.
Ale większość z nas, w tym ja, prawdopodobnie nie zauważy
taki drobny szczegół.
>> Więc możesz mieć całkowicie wykonalne Połączenie między wami i co
zdaniem jest Facebook, ale jest tzw. człowiek w środku.
I jest to ogólne określenie człowieka w middle attack, gdzie trzeba trochę
Jednostka między tobą a punkt B, który jest jakoś manipulacji, kradzieży lub
oglądanie danych.
Więc nawet SSL nie jest murowany, zwłaszcza jeśli już nabrać
nie włączając go, ponieważ, jak to podstawowe mechanizmy rzeczywiście działa.
>> Więc lekcja dzisiaj to też jest, jeśli naprawdę chcesz być paranoikiem -
i nawet tutaj istnieją zagrożenia -
trzeba naprawdę zacząć się zwyczaj pisania w https://www
co nazwa domeny faktycznie zależy.
>> I jak na bok zbyt jest z kolejnym zagrożeniem
w odniesieniu do przechwycenia sesji.
Bardzo często podczas pierwszej wizyty strona jak facebook.com, chyba
Serwer został skonfigurowany tak, aby powiedzieć, że że ręka go umieścić znaczek na ciebie
wczoraj należy zabezpieczyć się, twój przeglądarka może bardzo dobrze, na
odwiedzające rzeczy, jak facebook.com google.com, twitter.com, przeglądarka
może przedstawiać ten znaczek tylko ręcznie nie uderzył w dół i powiedział, nie.
Użyj SSL.
>> Ale jest już za późno w tym punkcie.
Jeśli już wysłany rękę pieczęć, plik cookie, w jasny z
no SSL, masz ułamek sekundy Luka, gdzie ktoś wąchania
Twój ruch, czy współlokator lub NSA, może następnie użyć tego samego pliku cookie, a
z odrobiną technicznych doświadczonych, przedstawia je jako swoje własne.
>> Kolejny atak możesz być nie myślałem o.
Ten jest naprawdę na ciebie, jeśli przykręcić to w piśmie niektóre strony, że
w jakiś sposób wykorzystuje SQL.
Więc, na przykład, jest ekran strzał logowanie Harvardu.
I to jest ogólnie przykładem coś z
nazwa użytkownika i hasło.
Super wspólnego.
Więc załóżmy, że istnieje i SSL nie ma człowiek w środku lub
coś w tym stylu.
Teraz skupiamy się na serwerze Kod, który można napisać.
>> Cóż, kiedy wpisać nazwę użytkownika i hasło, przypuszczam, że usługa PIN
realizowany jest w PHP.
A może masz jakiś kod na tym serwerze tak.
Pobierz nazwę użytkownika z postu Super globalny i uzyskać hasło, a następnie
jeśli używasz jakiś pset7 jak Kod jest funkcja query
że może to zrobić.
Wybierz hotel od użytkowników, gdzie nazwa użytkownika odpowiada, że i hasło jest równe.
>> To wygląda na pierwszy rzut oka, całkowicie uzasadnione.
To jest składniowo poprawny kod PHP.
Logicznie rzecz biorąc nie ma nic złego.
Przypuszczalnie istnieje jakiś więcej linii, które rzeczywiście zrobić coś z
wynik, który wraca z bazy danych.
Ale to jest podatny na z następującego powodu.
>> Zauważ, że tak jak dobry obywatel, Włożyłem w cudzysłowie, single
cytaty, nazwę użytkownika.
I umieścić w apostrofach hasło.
I to jest dobra rzecz, ponieważ są one nie ma za numery.
Zazwyczaj są one będzie tekst.
Więc cytuję je jak struny.
>> I jeśli teraz przejść dalej, co, jeśli - a ja już usunięte kule z
PIN usługi czasowo -
co jeśli próbuję zalogować się jako Przewodniczący [? Scroob?]
ale twierdzą, że moje hasło 12345 'OR '1' = '1 i anons
to, czego nie zrobili.
I nie zamyka innych apostrof.
Ponieważ jestem dość ostry tutaj jako zły facet.
I jestem przy założeniu, że są, że jesteś nie bardzo dobre ze swoimi
Kod PHP i MySQL.
Zgaduję, że nie masz kontroli na obecność cytatów.
>> Więc co się stało jest to, że kiedy twój użytkownik wpisał w tym ciągu,
query jesteś o stworzenie wygląda tak.
I krótko mówiąc, jeśli i coś razem, albo czy coś
razem to będzie powrót wiersz z bazy danych.
Bo to jest zawsze tak, że 1 jest równa 1.
>> I właśnie dlatego, że nie przewidujemy że użytkownicy, dobre lub złe, być może
mają apostrof w nazwie Cię Stworzyliśmy zapytanie SQL, które nadal
ważne, i wróci teraz więcej wyników niż mogłeś przeznaczone.
A więc to zły facet ma teraz potencjalnie zalogować się do serwera
ponieważ baza danych zwraca wiersz nawet jeśli on lub ona nie ma pojęcia, co
[? Scroob jest?] Rzeczywisty hasło.
>> Oh, zdałem sobie sprawę, literówka tutaj.
Powinienem powiedział hasło równa 12345 jak poprzedni
Przykładem lub 1 jest równa 1.
Zrobię to w Internecie.
>> Dlaczego więc mamy używasz zapytanie Funkcja ze znakami zapytania?
Jedną z rzeczy, funkcji query ma dla Ciebie jest to gwarantuje, że
kiedy przechodzą w argumenty po przecinki tutaj jak to, że zapytanie
że rzeczywiście wysłany do Baza wygląda tak.
Brzydsza wiele do obejrzenia, ale z powrotem ukośniki zostały automatycznie
włożona dokładnie, że w celu uniknięcia atak iniekcji, że pokazałem
chwilą.
>> Teraz zabawa XKCD, że myślałem, że ciągnąć tutaj, że mam nadzieję, że powinien być teraz
trochę bardziej zrozumiałe to jest jeden tutaj.
>> Trochę?
Może potrzebujemy trochę więcej Dyskusja na ten temat.
Więc jest to aluzja do małego dziecka nazwie Bobby, który w jakiś sposób brane
zaletą strony internetowej, która jest po prostu ufając, że to, co użytkownik wpisał
W nie jest, w rzeczywistości, kod SQL ale w rzeczywistości ciąg.
>> Teraz możesz przypomnieć, że spadek -
może widzieliście to - oznacza spadek usunąć tabelę, usunąć bazę danych.
Więc jeśli w istocie twierdzą, że nazywasz się Robert "; droptabl
estudentsomething,]
można bardzo dobrze oszukać bazy danych nie tylko do sprawdzenia, że jesteś
rzeczywiście Robert, ale średnik również przejdź usunąć tabelę.
>> I tak ataków SQL injection może faktycznie jako zagrożenie, ponieważ
przy czym można usunąć czyjeś dane, Możesz wybrać więcej dane teleadresowe niż
przeznaczone, można wstawić lub aktualizacji danych.
I rzeczywiście można zobaczyć na co ćwiczenia do domu, nie na złośliwe
cele, ale tylko dla instruktażowe, to czas, zostanie wyświetlony monit logowania
na stronie internetowej, w szczególności jakiś nie bardzo publicznie, bardzo popularna strona internetowa,
spróbuj zalogować się jako John O'Reilly lub ktoś z
apostrof w ich imieniu.
Albo dosłownie wpisać apostrof, naciśnij klawisz Enter, i zobaczyć co się dzieje.
>> I zbyt często, Niestety, ludzie nie oczyszczone ich wejścia i
upewnić się, że takie rzeczy jak cytaty lub średniki są uciekł.
Dlatego właśnie w pset7 dajemy Państwo to zapytanie funkcja.
Ale nie pod docenić dokładnie Co robi dla Ciebie.
>> Więc z tym powiedział, korzystają przy użyciu internetowych w tym tygodniu.
I zobaczymy w poniedziałek.
>> Na następnym CD50.
>> [MUZYKA]