Alternativen zum Senden eines Klartextkennworts während der Anmeldung

Jan 02 2021

Hinweis: Ich habe bereits gelesen. Ist es in Ordnung, ein Klartextkennwort über HTTPS zu senden? und https-Sicherheit - sollte das Passwort serverseitig oder clientseitig gehasht werden? , aber hier geht es um eine bestimmte Ersetzungsmethode (siehe unten).

Nachdem ich einen Artikel über eine neue Authentifizierungsmethode im Cloudflare-Blog gelesen hatte , habe ich mir die POSTAnforderungen angesehen, die während der Authentifizierung mit "Developer Tools> Network" gesendet werden. Viele beliebte Websites (Reddit, HN usw.) senden das Passwort in der (SSL-gesicherten) POSTAnfrage weiterhin im Klartext (siehe Abbildung unten).

Ist diese Anmeldemethode immer noch Industriestandard?

Ist die folgende Alternative sicherer als das Senden eines Klartextkennworts über HTTPS?

  • Anmeldung: Der Client generiert einen Zufall saltund sendet das Tupel (username, salt, hash(plain_password + salt))über eine POSTAnfrage. Dann erreicht das Klartext-Passwort nie den Server.

  • nachfolgende Anmeldungen: der Server zu senden , saltum wieder jeden Kunden, der mit einem gegebenen einzuloggen versucht username, so dass der Client - Hash mit dem gleichen Salz. Dies bedeutet, dass der Server saltjedem mitteilt , der versucht , sich mit einem bestimmten Benutzernamen anzumelden.

  • Vorteil: Der Server speichert ein gesalzenes + gehashtes Passwort (was Standard ist), aber auch der Server hat das Klartext-Passwort noch nie gesehen (wenn also der Server kompromittiert wird, ist das Risiko begrenzt).

Anmerkungen:

  • Da H = hash(plain_password + salt)sich der Server jetzt ein wenig wie ein neuer verhält plaintext(siehe die zweite Antwort von Zero Knowledge Password Proof: Warum ist das Hashing des Kennworts auf der Clientseite kein ZKP? ), kann der Server(username, salt, server_salt, hash(H + server_salt)) stattdessen in der Datenbank gespeichert werden (username, salt, H).

  • abzumildern für Replay - Attacken Risiken, senden kann der Server auch eine einzigartige nonce, zusammen mit saltfür jede Anmeldung, die nach einem Login - Versuch abläuft

  • Das Hauptziel hierbei ist, dass der Server niemals Zugriff auf das Klartextkennwort oder einen einfachen Hash davon hat (dies kann häufig mit einer einzelnen Regenbogentabelle für die gesamte Site umgekehrt werden). Ich bin mit dem Risiko einverstanden, dass ein Angreifer pro Benutzer eine Regenbogentabelle berechnen muss .

  • Beispiel für einen Angriff, den ich abschwächen möchte: Wenn der Server Zugriff auf ein Klartextkennwort hat und dieses kompromittiert ist (Beispiel Spectre / Meltdown vuln.), Kann das Klartextkennwort des Benutzers (möglicherweise auf anderen Websites wiederverwendet) gestohlen werden, bevor es gesalzen wird -hashed und in der Datenbank gespeichert.

Antworten

14 SteffenUllrich Jan 02 2021 at 14:38

Ich sehe nicht, wie Ihr Vorschlag besser ist als bestehende clientseitige Hashing-Ansätze, aber ich finde es komplexer zu implementieren als andere. Leider beschreiben Sie kein spezifisches Risiko, auf das Sie zugreifen möchten, daher gehe ich nur von den typischen Bedrohungen aus, die häufig auftreten.

Mann im mittleren Angreifer

In diesem Fall wird davon ausgegangen, dass ein Mann in der Mitte Zugriff auf den Datenverkehr hat, z. B. weil dadurch das TLS-Abfangen von vertrauenswürdigem Datenverkehr in einer Unternehmensfirewall beeinträchtigt wurde oder eine vertrauenswürdige Zertifizierungsstelle wie im Fall von Superfish festgehalten wurde .

In diesem Szenario erhält der Angreifer Zugriff auf Hdasselbe wie zuvor plain_password. Da Hfür die Authentifizierung alles erforderlich ist, ist der Angreifer erfolgreich und Ihr Ansatz bietet hier keinen zusätzlichen Schutz .

Ausblenden schwacher Passwörter und Wiederverwendung von Passwörtern

Ein häufiges Argument für clientseitiges Hashing besteht darin, dem Server kein schwaches oder wiederverwendetes Kennwort zur Verfügung zu stellen, sondern sich mit einem komplexen abgeleiteten Kennwort zu authentifizieren. Ihr Ansatz tut dies mit Hashing der plain_passwordmit einigen Benutzern erzeugen Zufall saltund dann senden Hund saltauf den Server , auf Passwort - Setup.

Während dies funktioniert, erfordert jede Authentifizierung jetzt einen zusätzlichen Schritt : Zuerst muss das zuvor für den Benutzer verwendete Salt vom Benutzer abgerufen werden, und dann kann es dieses verwenden, um das saltzu hashen plain_password. Dieser zusätzliche Schritt macht die Authentifizierung komplexer, da zuerst der Benutzer mit dem Server überprüft werden muss und später das Kennwort überprüft werden kann. Zusätzlich öffnet eine triviale Implementierung ein Informationsleck, da es möglich ist, ohne weitere Authentifizierung zu überprüfen, ob der Benutzer überhaupt existiert (zurückgegebenes Salz oder nicht).

Dieses Informationsleck kann vom Server geschlossen werden, der etwas Salz zurückgibt, unabhängig davon, ob der Benutzer vorhanden ist oder nicht. Natürlich kann dies nicht nur ein zufälliges Salz sein, da ein Angreifer andernfalls nur zweimal denselben Benutzer überprüfen und daraus schließen könnte, dass der Benutzer nicht existiert, wenn das zurückgegebene Salz anders wäre. Das Salz muss also tatsächlich für den nicht existierenden Benutzer festgelegt werden, dh vom Benutzernamen abgeleitet.

Dies zeigt auch einen Weg, um Ihren Ansatz zu vereinfachen : Anstatt ein zufälliges Salt vom Benutzer zu generieren, es auf dem Server zu speichern und später wieder abzurufen, könnte man das Salt einfach aus dem Benutzernamen auf der Clientseite ableiten . Ein einfacher salt=hash(username+domain)würde ausreichen , um ein Salz zu erzeugen , die pro Domäne eindeutig ist und somit beide machen saltund Hverschiedene , auch wenn usernameund plain_passwordin verschiedenen Domänen wiederverwendet zu erhalten. Und im Gegensatz zu Ihrem Ansatz ist keine zusätzliche Fahrt zum Server erforderlich, um zuerst das zuvor verwendete Salz für den Benutzer abzurufen.

Kurz gesagt: Dieser vereinfachte Ansatz sendet im Grunde genommen hash(plain_password+username+domain)anstelle des ursprünglichen Passworts. Die Domain wird hinzugefügt , um sicherzustellen , dass , selbst wenn usernameund plain_passwordüber mehrere Standorte wiederverwendet werden, das abgeleitete Passwort nicht wiederverwendet wird.

8 mti2935 Jan 02 2021 at 21:33

Dies ist genau das Problem, das Protokolle wie PAKE und SRP lösen sollen. Bei PAKE / SRP authentifizieren sich Client und Server gegenseitig anhand eines dem Client bekannten Kennworts (und einer Ableitung des dem Server bekannten Kennworts).

Der Client demonstriert dem Server, dass er das Kennwort kennt, ohne dass der Client das Kennwort (oder kennwortäquivalente Daten) an den Server sendet. Am Ende des Prozesses teilen sich der Client und der Server ein gemeinsames Geheimnis.

Der Server speichert das Kennwort (oder kennwortäquivalente Daten) nicht und ist nicht anfällig für Wörterbuchangriffe. Ein Lauscher oder ein Mann in der Mitte, der den über das Kabel gesendeten Klartext anzeigen kann, kann nicht genügend Informationen abrufen, um das Kennwort abzuleiten. Dies verhindert effektiv Man-in-the-Middle-Angriffe mit gefälschten Zertifikaten und verhindert, dass Phishing-Sites die Passwörter der Benutzer stehlen.

Eine gute Beschreibung der Implementierung von SRP durch 1password finden Sie unter https://blog.1password.com/developers-how-we-use-srp-and-you-can-too/

5 mentallurg Jan 02 2021 at 16:00

Neben der Antwort von Steffen Ullrich :

Wenn der Benutzer während der Anmeldung nur den Hash sendet, muss der Angreifer das Kennwort nicht kennen. Es reicht aus, die Passwortdatenbank zu stehlen. Während der Anmeldeanforderung sendet der Angreifer dann einfach den Hash aus der Datenbank. Der Server unterscheidet nicht, ob der Client das Kennwort verwendet und gehasht hat oder ob der Client (Angreifer) den Hash einfach gesendet hat.

Der Artikel über OPAQUE behebt auch dieses Problem: Der Diebstahl der Kennwortdatenbank hilft dem Angreifer nicht. Man müsste das einfache Benutzerpasswort kennen.

3 MargaretBloom Jan 03 2021 at 08:43

Wenn der Angreifer Ihren Server kompromittiert hat, hat er nicht nur die Kontrolle über die auf Ihrem Server ausgeführte Software, sondern auch über die auf den Clients ausgeführte Software.
Unabhängig davon, welches wunderschön gestaltete Authentifizierungsschema Sie entworfen haben, kann der Angreifer es ändern, bevor es an den Browser gesendet wird.
Sie haben jetzt ein Ei-Huhn-Problem: Sie können ein Passwort nicht sichern, wenn der Angreifer die Art und Weise kontrolliert, wie es gesammelt und an Ihren Server gesendet wird.

Wenn Sie sich Sorgen über einen Datenverstoß machen, dient Ihre Methode als Schutz, aber auch eine ordnungsgemäße Kennwort-Hashing-Serverseite.

Wenn Sie sich Sorgen über MITM-Angriffe machen, löst TLS diese.
Wenn Sie sich Sorgen über MITM-Angriffe über TLS machen, beginnt eine gute Verteidigung gegen sie immer mit einem Krav Maga-Handbuch. Ein Angreifer, der über genügend Ressourcen verfügt, um TLS dauerhaft zu brechen, hat kein Problem damit, von einer nicht ordnungsgemäß und speziell ausgebildeten Person das zu bekommen, was er will (ja, ich spreche von Folter, Erpressung, Entführung und Mord).

Wenn Sie sich Sorgen über einen Bedrohungsakteur machen, der nur die vom Server empfangenen Daten lesen kann, wirkt Ihr Ansatz (wie von Steffen korrigiert) gegen ihn. Dies ist jedoch ein seltsamer und seltener Umstand, der häufig auf einen stark falsch konfigurierten Server und schlechte Entwicklungspraktiken zurückzuführen ist (dh das Senden von Anmeldeinformationen über GET-Anforderungen und das öffentliche Speichern des Zugriffsprotokolls). Es ist einfacher, diese Fehler zu beheben, als ein Protokoll zu erfinden, um sie zu behandeln.

Beachten Sie, dass beide von Ihnen erwähnten Sicherheitslücken (eigentlich nur eine, da Meltdown technisch eine Variante von Spectre ist) letztendlich zu einer Eskalation lokaler Berechtigungen führen und dem Angreifer die volle Kontrolle über Ihren Webserver geben. Hervorheben, wie selten das Szenario ist, in dem ein Angreifer schreibgeschützt auf die von Ihrem Webserver empfangenen Daten zugreifen kann.

Der Grund, warum viele große Websites es nicht verwenden, liegt darin, dass es so gut wie nichts hinzufügt, außer unter bestimmten Umständen, bei denen es sich höchstwahrscheinlich um Fehlkonfigurationen handelt. Es ist auch erwähnenswert, dass Sie weit in der Verliererseite des Spiels sind, wenn ein Angreifer lesen kann, welche Daten auf Ihrem Server übertragen werden. Wohlgemerkt, es ist gut, mehrschichtige Schutzmaßnahmen zu haben, aber Ihr Hauptziel ist es nicht , dass dies überhaupt erst geschieht. Wenn Sie sich darauf konzentrieren, können Sie auch keine neuen Systeme erfinden.

Wie Steffen gezeigt hat, könnte Ihr vorgeschlagenes Schema wie ein seltsames Angriffsmodell wieder funktionieren. Ich würde immer noch verwenden, hash(hash(domain + username) + password)anstatt hash(domain + username + password)nur die entfernte Möglichkeit zu regieren, die domain + username + passwordimmer noch ein Wort in einem Wörterbuch ist.
Wie mti2935 gezeigt hat, ist SRP eine interessantere Alternative. Die zertifikatbasierte Authentifizierung (dh die vom Browser verwaltete) ist eine weitere Option (die ich besser finde, als sie manuell in einem möglicherweise fehlerhaften JS-Skript durchzuführen, wie Sie in den Kommentaren vorgeschlagen haben).

Wie schwenke ich einen Datenrahmen?
Offizielle Locator-Strategien für den Webdriver
Wie schreibe ich einen korrekten Mikro-Benchmark in Java?
Pandas verschmelzen 101
Wie extrahiere ich Daten aus JSON mit PHP?
Was bedeutet "Schwerwiegender Fehler: Beim Auspacken eines optionalen Werts unerwartet Null gefunden"?
Was ist ein Debugger und wie kann er mir bei der Diagnose von Problemen helfen?
Was bedeutet ein Fehler "Symbol kann nicht gefunden werden" oder "Symbol kann nicht aufgelöst werden"?
Daten zwischen View Controllern übergeben
Wie überprüfe ich eine E-Mail-Adresse mit einem regulären Ausdruck?
Welche Regeln gelten für die Verwendung eines Unterstrichs in einem C ++ - Bezeichner?
Warum sollte ich nicht <bits / stdc ++. H> einschließen?
Sind 'Pfeilfunktionen' und 'Funktionen' gleichwertig / austauschbar?
Wie kann ich Eingaben als Zahlen lesen?
Wie übergebe ich Variablen und Daten von PHP an JavaScript?
Welcher Gleichheitsoperator (== vs ===) sollte in JavaScript-Vergleichen verwendet werden?
Syntaxfehler aufgrund der Verwendung eines reservierten Wortes als Tabellen- oder Spaltenname in MySQL
Verwenden von async / await mit einer forEach-Schleife
So zentrieren Sie ein <div> horizontal
Was ist ein Stack-Trace und wie kann ich damit meine Anwendungsfehler debuggen?
Warum schrumpfen Flex-Elemente nicht über die Inhaltsgröße hinaus?
Wie drucke ich mein Java-Objekt, ohne "SomeType @ 2f92e0f4" zu erhalten?
Wie konvertiere ich eine vorhandene Callback-API in Versprechen?
Warum ist die Get-Funktion so gefährlich, dass sie nicht verwendet werden sollte?
Fernsehen mit Katzen: Eine Bindung zwischen Freunden
„Der Marianengraben enthüllt: Enthüllung der schrecklichen verborgenen Wahrheiten des Abgrunds“
Was Sie in Ihrer Wartezeit tun können (Warten auf Ihren ersten Job in der Technikbranche)
Gedächtnistheorien: Wie wir uns an Dinge erinnern – Teil 2
Sprachsouveränität in Wales
Häufige Ursachen für Datenfehler in der globalen Lohn- und Gehaltsabrechnung
Der Soloauftritt des rothaarigen Mädchens
Die „Learning at Work Week“ ist wichtiger als Sie denken
Der Schüler wird zum Lehrer
Was ist effektiver Altruismus?
Tipps für den Einstieg in die Cybersicherheit ohne technischen Hintergrund.
3 bewährte Möglichkeiten, Ihre Schreibfähigkeiten zu verbessern
Verfolgen Sie jeden mit nur einer Telefonnummer | OSINT-Untersuchung
Gefährliche Gespräche
Finanzierung der CO2-Entfernung im Geschäftsjahr 24
Wie Robert F. Kennedy Jr. Trumps Birther-Strategie nutzt
Die Verfolgung von Christen: Das Hassverbrechen, über das wir nicht sprechen
BARD VS ChatGPT: Testen auf analytische Probleme
Wie man den Planeten rettet und Geld verdient
Hilfreicher Tipp für Hundebesitzer: Warum es wichtig ist, Ihren Hund beim Spaziergang schnüffeln zu lassen
Keine Passwörter mehr – wie Passkeys Ihr Passwort ersetzen
Das erste Buch zum Thema „High“ für Kinder
GRENZENLOSES LEBEN
Die langsame Erosion: Enthüllung der Art und Weise, wie Menschen in ihrer Karriere verkümmern
Warum manche Freiberufler ihr Leben vortäuschen
Was macht einen Podcast einflussreich?
Sunday S'mores
Schaffung einer sicheren Arbeitsumgebung
Ist Kunst jemals unpolitisch?
Die Workplace-Revolution: Top-Experten diskutieren über Hybrid- und Remote-Arbeit
Netzwerk-TV Twitter
Frauchen lud Fremde ein, sich auf einer Geschäftsreise mit ihr zu verbünden
Die Integrität eines Musikreaktors?
Zwei Jahre im Design – Das Gute, das Schlechte und das Hässliche…
Der Mord an Jordan Neely und das Problem des „patriotischen“ Rassismus
Der Selbstmordpakt
Die Cowboy-Lüge
Haben Sie alle die Vielfalt um Sie herum gespürt?
„Verdammt in San Francisco“
Ein Pharisäer auf Mission
Sammeln von OSINT für die Bedrohungssuche
Die Goodreads Reading Challenge ist giftig
Zeitschrift Ouvert
Dieses Bedrohungsarchiv: Band 7 Black Basta
Immer eine Bedrohung: Warum sich braune und schwarze Menschen in den Vereinigten Staaten nicht wohl fühlen können
Medien neu denken: McChesneys fünf Wahrheiten und die Zukunft der Kommunikation
Pronomen sind super gruselig
Informationen zu Domänennamen finden
Christopher Nolan bereute es einst, Quentin Tarantinos „Pulp-Fiction-Drehbuch“ gelesen zu haben
John Lennon erzählte, warum „The Tonight Show“ die „peinlichste“ Show war, in der er je mitgewirkt hatte
Paul McCartney sagte: „Sgt. In Peppers Song geht es nicht um Heroin
Der Rat von Jimmy Page für junge Musiker stammt direkt aus dem Motivational Speaker Handbook
Mick Jagger sagte, dass „Their Satanic Majesties Request“ der Rolling Stones von Acid und nicht von den Beatles inspiriert sei
MIA griff einmal John Lennons „Give Peace a Chance“ an
Sam Heughan weiß genau, was er vom „Outlander“-Set mitnehmen wird – „Ich fühle mich wie Jamie, wenn ich sie anziehe“
Taylor Sheridan hat gerade einen seiner Lieblingsstars aus „Yellowstone“ zur Besetzung von „Lawmen: Bass Reeves“ hinzugefügt.
Winona Ryder teilte einmal mit, dass alle ihre Charaktere zu Beginn ihrer Karriere als „hässliches Mädchen“ beschrieben wurden
Donovan verglich einen seiner Songs mit „Lucy in the Sky with Diamonds“ der Beatles
Jana Duggar: Alles, was sie über die Liebe gesagt hat und ihr 5-Jahres-Fenster, um den „Einen“ zu finden
Rolling Stones: Keith Richards wurde von einer Gruppe Musikfans, die die Band kritisierten, sauer
Paul McCartney stellte sich vor, wie seine Mutter auf seinen Erfolg reagiert hätte
Paul McCartney war wegen der einzigen abgesagten Show der Beatles so gestresst, dass er sich übergeben musste
Dolly Parton fand Gott in einer verlassenen Kirche, in der einheimische Teenager zum Sex missbraucht wurden
Paul McCartney erzählte, was ihn an John Lennon am meisten beeindruckte, als sie sich das erste Mal trafen
Paul McCartney: Leiden machte 1 Song aus dem „White Album“ der Beatles gut
Der Song von Paul Simon, der Bob Dylan perfekt parodierte 
Led Zeppelin-Manager Peter Grant sah, wie eine Fake-Band vor Zep einen Grammy gewann
John Lennon sagte, das Lied dieser B-52 klang „genau wie Yokos Musik“
Gene Simmons sagt, dass KISS-Comics möglicherweise „die Menschheit neu erschaffen könnten“.
Nicole Kidman liebte dieses attraktive Feature, das Michael Keaton und Val Kilmer als Batman teilten
Prince arbeitete eine Stunde lang an einem Song von Stevie Nicks und verdiente die Hälfte der Tantiemen 
Dolly Parton half ihrer „invaliden“ Großmutter, als keines der anderen Enkelkinder es tat – sie machte ihr auch Streiche
Die beste Zeit, den Drehort von „Little House on the Prairie“ zu besuchen
Ringo Starr weigert sich, mit einem Click-Track zu spielen, und das macht ihn zu einem besseren Schlagzeuger
Der frühe Beatles-Song, der laut einem Fab-Four-Insider einer der „aufregendsten Auftritte“ der Band war
Billy Crystal und Robin Williams haben ihren gesamten „Friends“-Cameo-Auftritt mit Werbebotschaften versehen
Warum Paul McCartney davor zurückschreckte, die Wahrheit über die Beatles zu sagen
Brad Pitt und Harrison Ford mussten spontan „The Devil's Own“ erfinden, als das „Drehbuch“ verworfen wurde
Paul McCartney sagte, „When I'm Sixty-Four“ der Beatles sei ein Witz gewesen
Wie John Ritter starb: Rückblick auf den Tod des „Three’s Company“-Schauspielers
Judy Norton von „The Waltons“ merkte, dass sie manchmal „eine Göre“ war, als sie die Show drehte
„Sympathy for the Devil“ der Rolling Stones klang ursprünglich wie brasilianische Musik
Petula Clark sagte, dass „Downtown“ ein verzweifeltes Lied enthüllte
John Lennon sagte 1 Zeile in „Revolution“ der Beatles und kommentierte die Polizei
George Harrison war verärgert: Seine Texte für Donovans „Hurdy Gurdy Man“ wurden nicht verwendet
Stevie Nicks „schnappte“ sich einen Song von Joni Mitchell, als sie spürte, dass ihre Musikkarriere scheiterte
„Boy Meets World“: Warum ist Mr. Turner aus der Serie verschwunden?
Frank Sinatras „My Way“ war nicht so groß wie sein „Old MacDonald“
Quentin Tarantino verriet einmal, dass die interessanteste Figur, die er je geschrieben hat, in „Pulp Fiction“ war.
„Schlaf nicht in der U-Bahn“ verwirrte Petula Clark
Paul McCartney sagte, er habe „Glück gehabt“, dass er nie Heroin konsumiert habe 
Wie Melissa Gilbert einen Vogel rettete, indem sie ihn unter ihrem Nachthemd gefangen hielt
Ein Rückblick auf Buddy Ebsens Rolle in „The Andy Griffith Show“
Bradley Coopers Schauspielkarriere stand auf dem Spiel, als er bei diesem Projekt mit Julia Roberts zusammenarbeitete
Der Beatles-Song Peter Asher nannte ihn den „größten Song, den ich je gehört habe“
David Bowie hätte beinahe ein Musical mit gefälschten Bob-Dylan-Songs geschrieben
Die Atlasmotte ist eine Behe-Motte plus 5 weitere Fakten
Martha Mitchell: Die Frau, die zu viel über Watergate wusste
Tolle Fluchten! 5 wilde Tiere, die ausbrachen und auf die Flucht gingen
Werfen Sie diese Pappröhren nicht weg! 10 Möglichkeiten, sie wiederzuverwenden
Was ist Völkermord und begeht Russland ihn in der Ukraine?
Wo sich die Waldbrandprävention am meisten auf Mensch und Klima auswirkt
Chief Plenty Coups: Visionärer Anführer und Verteidiger der Crow Nation
Hagfish: Diese aalähnliche Schleimmaschine ist der Albtraum eines Raubtiers
Ist Induktionskochen besser als Gas oder Elektro?
Können virtuelle Kraftwerke helfen, das US-Energienetz zu stabilisieren?
5 eloquente und nachhaltige Zitate von Maya Angelou
Sollten Sie Facebook oder Google verwenden, um sich auf anderen Websites anzumelden?
Warum haben die USA kein „rückgabefreies“ Steuererklärungssystem?
Könnte neu gemessenes W-Boson das Standardmodell brechen?
Die Zeit existiert möglicherweise nicht, sagen einige Physiker und Philosophen
Woher kommt der Ausdruck „On the Lam“?
Würden Sie Casu Marzu essen, den illegalen Käse mit Maden?
Der höchste Berg im Sonnensystem ist viel höher als der Everest
Warum Sriracha die beliebteste scharfe Soße aller ist
Das Rätsel des Wassermanns enthüllen: Die einzigartige Essenz der Luft erforschen
Was ist der Unterschied zwischen einer Demokratie und einer Republik?
Welche ist die süßeste Grapefruit – weiß, rot oder pink?
Die Orchideen-Mantis sieht aus wie eine Blume, „sticht“ wie eine Biene
Schlafen Fische?
So setzen Sie Ihr iPhone auf die Werkseinstellungen zurück
Ein Blick auf die denkwürdigsten Hochzeiten des Weißen Hauses
Spenden Sie Ihr Haar, um unser Wasser sauber zu halten
Ketanji Brown Jackson Confirmed as Supreme Court Justice
Was ist eine Giftpille und wird Twitter Elon Musk in Schach halten?
Vielleicht kannst du zu dünn sein? Lernen Sie den dünnsten Wolkenkratzer der Welt kennen
Elon Musk besitzt Twitter. Was könnte möglicherweise falsch laufen?
The Secrets of Airline Travel Quiz
Wer hat das gesagt? Das Synchronsprecher-Quiz
Tarotkarte „Sechs der Schwerter“: Den Weg zum Übergang und zur Heilung freischalten
Pripjat: Die ukrainische Geisterstadt im Schatten von Tschernobyl
Where in the World Are You? Take our GeoGuesser Quiz
Eine winzige Gruppe von Samaritern praktiziert immer noch ihre alte Religion
Insektenhotels rollen die Willkommensmatte für Ungeziefer aller Art aus
Was ist Luftfeuchtigkeit und welchen Einfluss hat sie auf die Temperatur?
Wellensittiche sind super sozial und tolle Haustiere
Müssen Sie eine positive Einstellung haben, um Krebs zu besiegen?
Ukrainische Flüchtlinge dürfen auch nach Kriegsende niemals nach Hause zurückkehren
Wie man Abflussfliegen loswird
Die Biennale in Venedig ist die „Olympiade der Kunst“
Wer war Pontius Pilatus vor und nach der Kreuzigung Jesu?
9 der größten Hühnerrassen
$ 1.500 heute Kauft einen Yellowstone Pass für 2172
Cate Blanchett erklärt, warum sie im Borderlands-Film mitspielt
Deadpool und Wolverine werden endlich Marvels X-Men-Filme freischalten
Cate Blanchetts durch Kettensägen angeheizte Lockdown-Hysterie führte sie nach Borderlands
Schlechte Nachrichten für Fani Willis und ihren Fall der Wahlbeeinflussung durch Trump
Ein Mann aus Louisiana schickte vor einer Verbrechensserie eine eindringliche Warnung
Biden kontert Urteil des Obersten Gerichtshofs zur Immunität Trumps und weist auf die Gefahr unkontrollierter Macht hin
Würden Sie für 9.800 US-Dollar Ihren Wagen in diesen siebensitzigen Toyota RAV4 Baujahr 2008 packen?
McLaren kann einfach nicht aufhören, IndyCar-Fahrer zu feuern, obwohl es ihm sogar Spaß macht
Einige Mortal Kombat-Fans befürchten, dass das neueste Spiel bereits tot ist, aber es könnte komplizierter sein
Mein Elden-Ring: Beschwörung von Spielern aus Shadow Of The Erdtree, Rangliste
Beverly Hills Cop: Axel F-Rezension: Eddie Murphy lässt es in Netflix‘ unkompliziertem Rückblick ruhig angehen
Sehen Sie sich den Motorweek-Test des Sterling an, eine vergessene britische Interpretation der Acura-Legende
Trotz russischer Propagandabehauptungen hat Selenskyjs Frau keinen Bugatti Tourbillon gekauft
Oberster Gerichtshof entscheidet, dass Trump Immunität für alle zwischen 9 und 17 Uhr begangenen Verbrechen genießt
Land Rover Defender Octa ist ein 626 PS starkes Biest für die Raptoren dieser Welt
Ich flehe die Spieler von Final Fantasy 14 an, einfach die Dialoge in Dawntrail zu lesen
Sie möchten eine Corvette, aber sie soll schrecklich aussehen? Wir haben das richtige Auto für Sie
Tianas Bayou-Abenteuer bricht mit 87 Jahren merkwürdigem Disney-Prinzessinnen-Kanon
Luther Vandross‘ Nichte hat etwas zu seinem herzzerreißenden Interview mit Oprah Winfrey nach seinem Schlaganfall zu sagen
Lionsgate gibt sich ein Jahr Zeit, den Titel von „Die Unfassbaren 3“ in „Die Unfassbaren – Now You Three Me“ zu ändern
Fahrer schafft es, Tesla Cybertruck umzudrehen, kein autonomes Fahren erforderlich
Xbox erleidet großen Ausfall [Update: Es funktioniert wieder]
RIP Robert Towne, Oscar-prämierter Drehbuchautor von Chinatown
Boeing möchte, dass alle aufhören, zu behaupten, der Starliner-ISS-Test sei ein Reinfall
Ich habe ein Wochenende mit Remote Play und Cloud Gaming verbracht und es war irgendwie großartig
Darum war Eddie Murphy „gezwungen“, sein berühmtes Lachen zu ändern
Amazon-Lieferwagen brennt während der Sommerhitze in Houston in Flammen auf
Der wilde Grund, warum das Schicksal des jungen Schlägers im YSL Rico-Prozess länger dauern wird als erwartet
Erinnern Sie sich, als eine niederländische Fluggesellschaft 440 Eichhörnchen in einen riesigen Schredder warf?
Eddie Murphy berichtet über alles auf seiner Pressetour „Beverly Hills Cop: Axel F“
Nicht gut: Hurrikan Beryl ist der früheste Sturm der Kategorie 5 in der aufgezeichneten Geschichte
Papst Franziskus ernennt ersten Millenniumsheiligen
Eine von Ryan Reynolds‘ vielen abgelehnten Deadpool 3-Ideen war ein Indie-Roadtrip
Marvels Black Panther Show wird die bisher bedeutendste Animationsserie
Ridley Scott „war nicht glücklich“, als die Fortsetzungen von Alien und Blade Runner verschenkt wurden
Zwei palästinensische Kinder sind „traumatisiert“, nachdem eine Frau angeblich versucht hat, sie zu ertränken
Umfrage: Demokraten liegen hinter Trump, egal ob sie Biden durch Biden, Biden oder Biden ersetzen
BMW will nicht, dass auf einem Autotransporter verbrannte Autos zum Verkauf angeboten werden
Twister-Regisseur bekam die Tornado-Warnung vor Twisters nicht
Oberster Gerichtshof hört Argumente darüber, ob das texanische Gesetz Ihre Pornogewohnheiten bestimmen kann
Halten Sie Ihre Katze mit diesen wissenschaftlich fundierten Strategien davon ab, Möbel zu zerkratzen
MaXXXine ist eine reißerische Hollywood-Geschichte, die sich zu zahm anfühlt
Beliebter YouTube-Rapper und berühmter TikTok-Zauberer liefern sich viralen Bell-Wettstreit
KI, um Stimmen verstorbener Prominenter auszugraben und Ihnen PDFs oder Ähnliches vorzulesen
Jetzt können Sie den kultigsten Bikini der Science-Fiction besitzen
The Bear-Zusammenfassung: Ist Marcus der netteste, sanfteste und aufrichtigste Mann in Chicago?
Neue Open-Source-Fehler machen Tausende iOS-Apps anfällig für Hijacking
Tun Sie sich selbst einen Gefallen und schauen Sie sich das beste Speedrunning-Event des Jahres an
Yara Shahidis Familie: Alles über die Eltern und Geschwister der Schauspielerin
TJ Watt möchte, dass Tom Brady und Bruder JJ gemeinsam in die NFL Hall of Fame aufgenommen werden
Charly Reynolds enthüllt kürzliche Stimmbandoperation: „Ich hatte Probleme beim Singen“
Marvel veröffentlicht tatsächlich eine fiktive Scott-Lang-Abhandlung aus „Ant-Man and the Wasp: Quantumania“
Bob Barker, langjähriger „The Price Is Right“-Moderator, mit 99 Jahren gestorben: „The World's Greatest MC“
Amazon-Käufer sagen, dass sie „wie ein verwöhntes Baby“ schlafen, dank dieser Seiden-Kissenbezüge, die nur 10 US-Dollar kosten
Susan Lucci erinnert sich unter Tränen an ihren verstorbenen Ehemann, als sie zugibt, dass sie noch nicht bereit ist, mit einem Date zu beginnen
Kevin Jonas' Tochter Alena sieht auf dem Geburtstagsfoto ganz erwachsen aus: "9 Jahre alt fühlt sich nicht echt an"
Danielle Moné Truitt von „Law & Order“ glaubt, dass Fans „ausgetrickst“ wurden; Von Stabler und Benson Kiss Tease
Käufer sind sich einig, dass diese Bodenkehrmaschine von Black + Decker „viel schneller“ ist als ein herkömmlicher Besen, und sie ist im Angebot
Alles über die Beziehung von Zoë Kravitz zu ihren Eltern Lenny Kravitz und Lisa Bonet
Lizzo erhält Warenzeichen für „100 % THAT Bitch“ in Umkehrung, nachdem der Antrag abgelehnt wurde
Muni Long sagt, sie habe es noch nicht „verarbeitet“, 3 Grammy Noms zu verdienen: „Alles geht so schnell“
Paul McCartney darüber, „romantisch“ mit Frau Nancy Shevell zu sein: „Ich übertreibe den Valentinstag völlig“
In diesem geheimen Verkaufsbereich bei Nordstrom Rack verstecken sich mehr als 2.500 Kaltwetter-Styles – ab 6 $
Jimmy Buffett, „Margaritaville“-Sänger, mit 76 Jahren gestorben
Wer ist Vince Vaughns Frau? Alles über Kyla Weber
Gal Gadot und Jamie Dornan sorgen im hochkarätigen „Heart of Stone“-Trailer für Spionage-Action
Körper, von denen angenommen wird, dass sie Rappern gehören, die seit dem abgesagten Auftritt vermisst wurden, wurden gefunden: „Sie haben das nicht verdient“
Maggie Gyllenhaal und Peter Sarsgaards Beziehungszeitleiste
US-Eiskunstlauf „frustriert“ durch das Fehlen einer endgültigen Entscheidung im Team-Event, fordert eine faire Entscheidung
'Flashdance'-Sängerin Irene Cara starb an Bluthochdruck, hohem Cholesterinspiegel: Bericht
Krankenschwester Lucy Letby wurde wegen Mordes an sieben Kleinkindern im britischen Krankenhaus für schuldig befunden
Eric und Jessie James Decker „knutschen immer übereinander“ – und die Kinder mögen das nicht
Purdue University Professor wegen angeblichen Meth-Handels und Angebots von Frauen wegen sexueller Gefälligkeiten verhaftet
Alles über Iman und David Bowies Tochter Alexandria „Lexi“ Jones
Frau, die vor 37 Jahren starb, nachdem sie bewusstlos auf dem Ga. Highway gefunden wurde, als vermisste Mutter von 4 identifiziert
Suzanne Somers und Alan Hamels Beziehungszeitleiste
Animal Rescue warnt: „Färbe niemals einen Vogel“, nachdem eine „kämpfende“ rosa Taube in New York gefunden wurde
Vermisstes Mädchen, 17, wahrscheinlich erfroren, nachdem es im ländlichen Wisconsin in einen Graben gefahren war: Beamte
Molly Ringwald feiert 22. Jahrestag mit Ehemann Panio Gianopoulos: „Beste Entscheidung, die ich je getroffen habe“
Heather Rae und Tarek El Moussa begrüßen ihren kleinen Jungen: „Unsere Herzen sind so glücklich“
Whoopi Goldberg zeigt Kit Harington ihre von „Game of Thrones“ inspirierte Toilette: „Ein echter Eiserner Thron“
Olympiateilnehmerin Jasmine Camacho-Quinn feiert, dass ihr Bruder Robert Quinn zum Super Bowl aufbricht
Margaret Josephs verteidigt die „verheerende“ Entscheidung von Melissa und Joe Gorga, die Hochzeit von Teresa Giudice zu überspringen
Kirstie Alleys Nachlass listet das 6-Millionen-Dollar-Haus von Late Star in Florida auf, das sie von Lisa Marie Presley gekauft hat
Wer ist Walker Scobell? Alles über den Percy Jackson and the Olympians Star
Frau lebend und nach Luft schnappend in Leichensack im Bestattungsunternehmen in Iowa gefunden
Wer ist John Cleeses Frau? Alles über Jennifer Wade
Yasmin Vossoughian von MSNBC sagt, dass der Arzt ihre Schmerzen in der Brust als Reflux abgetan hat, dann begann ihr „Albtraum“.
Wer ist Lisa Vanderpumps Ehemann? Alles über Ken Todd
Bengals Running Back Joe Mixon wegen Haftbefehl gesucht, weil er angeblich mit einer Schusswaffe auf eine Frau gerichtet war
Ava Gardners Dating-Geschichte: Ein Rückblick auf die Ehen und Romanzen der Hollywood-Ikone
Melissa Gorga ist sich nicht sicher, ob sie die Fehde mit Teresa Giudice lösen wird: „Wie giftig kann man etwas werden lassen?“
Chloe Cherry aus „Euphoria“ wird wegen Diebstahls angeklagt, weil sie angeblich eine Bluse im Wert von 28 Dollar gestohlen hat
Chelsea Houska von „Teen Mom“ teilt die tränenreiche Reaktion auf die Verlängerung der zweiten Staffel der HGTV-Show: „bedeutet so viel“
Dwayne Johnson sagt, seine Mutter sei nach einem nächtlichen Autounfall „in Ordnung“ und werde „weiterhin untersucht“
Matthew McConaughey enthüllt, dass ein Wahrsager ihm sagte, er solle in „How to Lose a Guy in 10 Days“ mitspielen
Bin ich immer noch Transgender (FTM), wenn ich erst in der Pubertät anfing, Anzeichen zu zeigen?
Wie lebe ich das Leben als 19-Jähriger in vollen Zügen?
Ist 18 ein gutes Alter, um zu MTF zu wechseln?
Ich bin 19 und Einzelkind. Ich werde depressiv und mache mir Sorgen, dass meinen Eltern etwas passiert, weil sie alles sind, was ich habe. Ich habe keine Freunde und konnte mir mit der Pandemie auch keine aneignen. Ich habe Angst alleine zu sein, was kann ich tun, um mir selbst zu helfen?
Wie kann ich mein Leben mit 17 ändern?
Ich bin 23 Jahre alt. Was kann ich jetzt tun, das mein Leben für immer verändern wird?
Kommt jeder durch die Pubertät?
Ich bin heute 19. Was ist das Wichtigste, was ich lernen sollte?
Ich bin 19. Bin ich noch in der Pubertät?
Ich bin gerade 17 geworden, was tue ich jetzt, um mir das beste Leben zu garantieren?
Wenn ich mich informieren möchte, um eine Behandlung zur Geschlechtsumwandlung zu beginnen, welchen Arzt sollte ich aufsuchen?
Ich bin 16 und werde nächsten Monat 17. Wie bekomme ich einen Therapeuten, wenn meine Mutter denkt, ich brauche keinen?
Welche Medikamente können einen Mann ohne Operation in eine Frau verwandeln?
Ich bin ein depressiver 13-Jähriger und möchte deswegen einen Arzt aufsuchen, aber ich habe Angst davor und dass meine Eltern es nur als meine Hormone und so abtun werden. Was soll ich machen?
Ich bin eine 14-jährige, die sich schnell von ihren Hobbys langweilt. Wie finde ich meine Leidenschaft und mein Talent?
Ich wandle von Frau zu Mann um. Wie soll mein neuer Name lauten?
Was kann ein 14-Jähriger tun, um sein Leben besser/leichter zu machen?
Wird HRT für Transgender-Teenager empfohlen?
Was ist das Nützlichste, was ich tun kann, wenn ich 14 bin?
Ich bin 17 Jahre alt, was soll ich tun, um mehr Wissen zu erlangen?
Warum habe ich noch nie eine Frau-zu-Mann-Transgender-Person gesehen?
Was ist der beste Weg, um auf natürliche Weise von Mann zu Frau zu wechseln?
Ist Spironolacton schlecht für die HRT?
Welche Änderungen treten auf, wenn Sie mit 13 eine HRT erhalten?
Verläuft die Pubertät in Phasen? Kann es aufhören und dann wieder anfangen?
Wie bekomme ich eine HRT, ohne zu sagen, dass ich eine HRT möchte?
Ich bin 13, transgender (ftm) und gehe seit ein paar Monaten zu einem Therapeuten. Wie kann ich ihr sagen, dass ich transgender bin, und sie bitten, sich zu outen?
Ich bin 30 Jahre alt. Was kann ich jetzt tun, das mein Leben für immer verändern wird?
Wie kann ich als 13-Jähriger Geld sparen und aufbewahren, ohne dass meine Eltern es wissen?
Was sind die Vor- und Nachteile der Pubertät?
Wie fühlt es sich an, während des Geschlechtswechsels vom Mann zur Frau Brüste wachsen zu lassen?
Wie stoppe ich die Pubertät ohne Pubertätsblocker?
Wie mache ich einen Arzttermin ohne meine Eltern und ohne dass sie wissen, warum ich gehe? Ich bin 15.
Ich werde morgen 16. Welchen konkreten Rat können Sie einem 16-jährigen Jungen geben?
Ich bin ein 21-jähriger Student. Was kann ich jetzt tun, das mein Leben für immer verändern wird?
Was sind die notwendigen Lebenskompetenzen, die ich in diesem Sommer von 3 Monaten beherrschen kann? Ich bin 17 Jahre alt.
Lohnt sich eine Gesäßoperation für einen Mann-zu-Frau-Übergang?
Ist es eine gute Idee, mit der HRT mit 18 (Transgender) zu beginnen?
Was ist das Wichtigste, was ein 14-jähriger Teenager beachten sollte?
Wie starte ich meinen Übergang vom Mann zur Frau? Ich war innerlich immer ein Mädchen. Was muss ich tun?
Ich bin 14 Jahre alt, welchen Rat würden Sie mir gerne geben, der für den Rest meines Lebens hilfreich sein wird?
Transgender: Was war der schwierigste Teil Ihres Übergangs vom Mann zur Frau?
Ist es in Ordnung, dass ich 13 Jahre alt bin, aber im Herzen immer noch ein Kind bin?
Was soll passieren, wenn man nie in die Pubertät kommt?
Was ist das beste Alter, um mit dem Übergang von Frau zu Mann zu beginnen?
Kann man mit 13 mit MTF HRT-Hormonen beginnen?
Was ist Ihrer Meinung nach der schwierigere Geschlechtswechsel, weiblich zu männlich (FzM) oder männlich zu weiblich (MzF)?
Ich bin 17 und plane, nach meinem Abschluss dieses Jahr als 18-Jähriger zur HRT zu gehen. Was könnte ich bis dahin tun, um mich weiblicher zu fühlen?
Wie man ein großartiges reproduzierbares R-Beispiel macht
Wie kann ich die SQL-Injection in PHP verhindern?
RegEx stimmt mit offenen Tags überein, mit Ausnahme von in sich geschlossenen XHTML-Tags
Ist die Gleitkomma-Mathematik kaputt?
Werfe ich das Ergebnis von Malloc?
Wie kann man in einem Rückruf auf das richtige "this" zugreifen?
Referenz - Was bedeutet dieser Regex?
So vermeiden Sie die Verwendung von Select in Excel VBA
Die PHP-Mail-Funktion schließt das Senden von E-Mails nicht ab
Warum bleibt meine Variable unverändert, nachdem ich sie innerhalb einer Funktion geändert habe? - Asynchrone Code-Referenz
So beheben Sie den Fehler "Header bereits gesendet" in PHP
Warum wird "Namespace std verwenden"; als schlechte Praxis angesehen?
mysqli_fetch_assoc () erwartet Parameter / Aufruf einer Mitgliedsfunktion bind_param () Fehler. Wie bekomme ich den eigentlichen MySQL-Fehler und behebe ihn?
SQL-Injection, die mysql_real_escape_string () umgeht
Wie man gute reproduzierbare Pandas Beispiele macht
Der Scanner überspringt nextLine (), nachdem next () oder nextFoo () verwendet wurden.
Verwendung von ThreeTenABP in Android Project
Leider hat MyApp aufgehört. Wie kann ich das lösen?
Wie funktioniert das Schlüsselwort "this"?
Bitten Sie den Benutzer um Eingabe, bis er eine gültige Antwort gibt
Liste der Listenänderungen, die unerwartet in Unterlisten angezeigt werden
Was ist das explizite Versprechenskonstruktions-Antimuster und wie vermeide ich es?
Liste Änderungen unerwartet nach Zuweisung. Wie klone oder kopiere ich es, um dies zu verhindern?
Die Verwendung mehrerer JFrames: Gute oder schlechte Praxis? [geschlossen]
ja/answers
es/answers
de/answers
fr/answers
th/answers
pt/answers
ru/answers
vi/answers
it/answers
ko/answers
tr/answers
id/answers
pl/answers
hi/answers
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2025 | All Rights Reserved