Koa.JS Invulnerability Analysis alias Warum versteht die Sicherheitsbranche Software nicht?

Nov 26 2022
Meine Frustration ist allzeit hoch, weil es gerade wieder passiert ist. Wenn Sie meine vorherige Analyse mit dem Titel CVE-2022–29622: (In)vulnerability Analysis gelesen haben, ahnen Sie vielleicht, worauf ich mich beziehe.

Meine Frustration ist allzeit hoch, weil es gerade wieder passiert ist. Wenn Sie meine vorherige Analyse mit dem Titel CVE-2022–29622: (In)vulnerability Analysis gelesen haben , ahnen Sie vielleicht, worauf ich mich beziehe. Gleiche Geschichte, anderes Opfer. Allerdings sind die Daten in diesem Fall wichtig. Meine bisherige Unverwundbarkeitsanalyse stammt aus dem Jahr 2022, heute werde ich ein weiteres Problem aus dem Jahr 2018 analysieren.

Sie fragen sich vielleicht: „Warum müssen Sie sich mit etwas aus dem Jahr 2018 befassen?“ Ausgezeichnete Frage! Weil ich erst kürzlich Dependency Track aktiviert habe, um Schwachstelleninformationen aus dem OSS-Index von Sonatype abzurufen.

Koa.JS „Vulnerability“ von 2018 (falsch positiv)

Heute, als ich SCA durchgesehen habe, um zu sehen, ob wir anfällige Komponenten hatten, und wenn ja, priorisieren Sie die Korrekturarbeiten. Ich bin auf etwas sehr Überraschendes gestoßen. Koa.JS hat eine kritische Schwachstelle?! Nach meinem üblichen „#FFS, meine ganze Woche muss neu geordnet werden.“ dachte ich: „Atme tief durch und sieh dir an, worum es geht. Du erinnerst dich, was letztes Mal passiert ist …“

Abhängigkeitsverfolgung, die die Schwachstelleninformationen anzeigt

Und das tat ich. Zunächst einmal macht der Titel klar, dass das „Problem“ im Jahr 2018 gefunden wurde. Warum sollte ich nun eine Schwachstelle in einer Bibliothek haben, die noch gewartet wird, und ich aktualisiere immer wieder auf die neueste Version? An diesem Punkt setzte der investigative Teil meines Gehirns ein.

Was wissen/sehen wir an dieser Stelle?

  1. Angeblich gab es 2018 in Koa eine Schwachstelle mit einem kritischen Schweregrad
  2. Laut Sonatype OSS Index und Dependency Track betrifft mich das Problem im Jahr 2022, während ich die neueste Version von Koa verwende
  • Welche Versionen der Koa.JS-Bibliothek waren von der „Schwachstelle“ betroffen?
  • Wenn die „Schwachstelle“ in der neuesten Koa.JS

Problemanalyse

Mal sehen, was die „Schwachstelle“ ist/war. Lassen Sie mich hier schnell das verwandte Problem Nr. 1250 von GitHub verlinken . Ich werde einfach das Beispiel (PoC?) unten kopieren und einfügen, damit wir es analysieren können.

const Koa = require('koa');
const app = new Koa();

app.use(async ctx => {
  ctx.redirect("javascript:alert(1);")
});

app.listen(3000);

„Als Entwickler einer Webanwendung oder eines Webdienstes kann ich Ihren Browser dorthin umleiten, wohin ich möchte, wenn Sie meine Website besuchen.“

Das bedeutet der obige Code. Im obigen PoC wird einem böswilligen Akteur kein Angriffsvektor präsentiert, um irgendetwas auszunutzen.

Wenn Sie einen richtigen „PoC“ für diese Nicht-Schwachstelle bereitstellen wollten (ja, ich habe es gerade gesagt), würde es so aussehen:

const Koa = require('koa');
const app = new Koa();
// Try: http://localhost:3000/?vector=javascript:alert(1);
app.use(async ctx => {
  ctx.redirect(ctx.request.query.vector);
});

app.listen(3000);

Apropos XSS-Schwachstelle: Wenn das, was ich als Wert des vectorParameters eingegeben habe, im HTML-Kontext unsicher angezeigt würde, wäre die von mir implementierte Anwendung anfällig für Cross Site Scripting. (Dazu später mehr)

Zoomen Sie hinein, wie Sonatype dies präsentiert hat, und analysieren Sie es ein wenig weiter:

„Open Redirect führt zu Cross-Site Scripting“? Zunächst einmal gab es keine offene Weiterleitung. Es ist nur geöffnet, wenn Sie es öffnen, und der Unterschied zwischen den beiden PoCs (dem Original und meinem) zeigt dies deutlich. In der ersten gab es keinen Angriffsvektor, daher gab es keine offene Weiterleitung. Mein PoC hatte einen Angriffsvektor, keine Filterung, daher gab es eine offene Weiterleitung. Aber wie Sie sehen können, hing von mir, dem Entwickler, ab, ob es eine offene Umleitung gab oder nicht, und nicht von Koa.JS. Noch besser, ob es eine Weiterleitung gab oder nicht, hing auch von mir ab. Ob ich vom Benutzer bereitgestellte Eingaben als/in die Umleitungs-URL auf unsichere Weise eingefügt habe, lag ebenfalls bei mir. Von welcher Schwachstelle in Koa.JS sprechen wir dann? Technisch gesehen gab es keine Schwachstelle und jemand hat ihr trotzdem den Schweregrad Kritisch zugewiesen. Nicht gerade professionell.

Wie auch immer, lassen Sie uns die besagte „Schwachstelle“ „ausnutzen“, die durch den richtigen PoC implementiert wird. Bitte beachten Sie, dass ich den Service-Port von 3000 auf 4444 ändern musste, da ich bereits etwas auf Port 3000 hatte.

Wir können sehen, dass der LocationAntwortheader den Wert hat javascript:alert(1). Dann leitet der Browser weiter zu…

Huh, ich bin sicher! Es wurde kein Warnfenster angezeigt. Ja, ich könnte https://google.comden Wert des vectorAbfrageparameters eingeben und zu Google umgeleitet werden, daher ist meine Anwendung (PoC) anfällig für eine offene Weiterleitung, aber nicht wegen Koa, sondern weil ich ungefilterte Benutzerdaten an weitergegeben habe ctx.redirect. Es ist nichts, worüber ich mir Sorgen mache, ich würde das niemals tun.

Eine wichtige Anmerkung zu den Issue-Kommentaren auf GitHub ist Folgendes:

Das Problem ergibt sich aus der Tatsache, dass Koa einen HTML-Hyperlink in den Hauptteil der Umleitungsantwort druckt, was einen Cross-Site-Scripting-Angriff auslösen kann.

Ah, das ergibt etwas mehr Sinn! Mal sehen, ob das immer noch so ist.

Nein, das ist nicht mehr der Fall. Es gibt keinen Antworttext. Ich denke, ich kann daraus schließen, dass diese „Schwachstelle“ mich nicht betrifft. Ich kann es einfach im Dependency Track als falsch positiv markieren.

Kontextanalyse

Ich schlage vor, dass eine „Kontextanalyse“ von allen Sicherheitsexperten angenommen und durchgeführt wird, bevor „Probleme“ gemeldet werden. Lassen Sie dies ein weiteres Beispiel sein und zeigen Sie Ihnen, wie es gemacht wird. (Ich empfehle Ihnen dennoch, CVE-2022–29622: (In)vulnerability Analysis zu lesen , da es die Bedeutung des Kontexts viel besser erklärt.)

  1. Koa.JS leitet Sie standardmäßig nirgendwohin weiter. Daher gibt und gab es keinen „Open Redirect“, wie vom Sonatype OSS Index angegeben.
  2. Basierend auf dem auf GitHub bereitgestellten „PoC“ gab es für einen Entwickler die Möglichkeit, etwas Dummes zu tun, das zu XSS führen könnte. Aber siehe Nr. 1 oben. Koa.JS hat selbst keine Umleitung durchgeführt. Siehe Nr. 2 unten.
  3. Ein Entwickler muss seine Anwendung auf unsichere Weise implementiert haben, damit die gemeldete „Schwachstelle“ vorhanden ist. Das bedeutet so ziemlich, dass Koa.JS zwar besser hätte sein können, man es aber nicht als anfällig bezeichnen kann. Es ist kontextuell unangemessen. Die fragliche Schwachstelle könnte nur in einer unsicher implementierten Webanwendung vorhanden sein .

Lassen Sie mich Ihnen ein Beispiel geben, wie Situationen wie diese am besten gehandhabt werden. Schauen Sie sich dieses Problem an, das ich bei Swagger Parser eingereicht habe, und wie es kommuniziert wurde. Analysieren wir den Problembericht:

  1. Der Titel lautet „Unsicheres Resolver-Verhalten“. Ich spreche im Titel nicht von LFI (Local File Inclusion). Dies liegt daran, dass es zwar ein Potenzial für die lokale Dateieinbindung gibt, WENN ICH DINGE VERMISSE, es aber wirklich an mir als Entwickler liegt, zu wissen, womit ich arbeite und wie ich damit arbeite. Das Standardverhalten war (vielleicht ist es immer noch) unsicher. Aber die Bibliothek allein, ohne meine Beteiligung, wird nichts bewirken.
  2. Dann gebe ich klar an, von welcher Version der Bibliothek ich spreche. Ich mache den Kontext noch klarer, indem ich die Bedingungen aufzähle, unter denen sich das unsichere Standardverhalten der Bibliothek auf eine Anwendung auswirken würde. Dies macht ziemlich deutlich, dass die Bibliothek selbst nicht anfällig ist, aber ein unsicheres Verhalten aufweist, das verbessert werden kann, um Entwicklern zu helfen.
  3. Nun, da der Kontext festgelegt ist, stelle ich einen funktionierenden PoC, ein anfälliges Code-Snippet (das ich als PoC geschrieben habe, es ist nicht Teil von Swagger Parser!) und das tatsächliche Ergebnis der Ausnutzung einer anfälligen App/eines anfälligen Dienstes bereit, das die Bibliothek unsicher.
  4. Ich habe einige Nachforschungen angestellt und festgestellt, dass ich als Entwickler die Bibliothek tatsächlich so konfigurieren kann, dass das Problem gemildert wird. (bis zu einem gewissen Grad) Ich habe dies mit den Entwicklern geteilt. Wenn nichts anderes, können sie zumindest die Dokumentation aktualisieren, um das Bewusstsein zu schärfen.
  5. Ich habe zusätzlichen Kontext, Analysen und ein Beispiel dafür bereitgestellt, wie die Dinge verbessert werden könnten.

Fazit

Zunächst einmal sollte Sonatype den OSS-Index verbessern und sicherstellen, dass für jede Schwachstelle in der Datenbank Versionsinformationen verfügbar sind. Das ist das absolute Minimum. (Bonuspunkte für das vollständige Entfernen dieses speziellen Eintrags aus der Datenbank.)

Ich vermute, dass Dependency Track unter FOMO leidet, daher ist es bereit, Probleme nur auf der Grundlage der Übereinstimmung von Komponentennamen zu melden, wenn die Versionsnummer nicht verfügbar ist. Ich verstehe bis zu einem gewissen Grad, dass sie nicht riskieren würden, eine kritische Schwachstelle zu übersehen. Das Problem bei diesem Verhalten (False Positives) besteht darin, dass es die Einführung von Software Composition Analysis nicht fördert. Es wird Entwickler abschrecken wie die Fehlalarme der statischen Codeanalyse. Kontraproduktiv.

Kontext! Der verdammte Kontext, Leute! Ich schlage vor:

  1. „Kontextanalyse“, die von allen Sicherheitsexperten übernommen und durchgeführt werden muss, bevor „Probleme“ gemeldet werden
  2. Unterscheidung zwischen „unsicherem Verhalten“ und „Verwundbarkeit“
  3. Den Unterschied zwischen einer Softwarebibliothek und einer Anwendung/einem Dienst verstehen
Datenstrukturen in JavaScript
Datenstrukturen in JavaScript
Was ist überhaupt eine verknüpfte Liste? [Teil 1]
Was ist überhaupt eine verknüpfte Liste? [Teil 1]
Erzählen Sie mir von verknüpften Listen
Erzählen Sie mir von verknüpften Listen
Wenn alles andere fehlschlägt, werden Sie kreativ
Wenn alles andere fehlschlägt, werden Sie kreativ
Mein Raumschiff am Ende der Welt
Mein Raumschiff am Ende der Welt
Kürbis-Grünkohl-Lasagne
Kürbis-Grünkohl-Lasagne
Walker Buehler hat keine Angst vor dem Scheitern und ist in NLCS Game 6 wieder ruhig erfolgreich
Walker Buehler hat keine Angst vor dem Scheitern und ist in NLCS Game 6 wieder ruhig erfolgreich
Gut mit Kell: Freund, reinige deinen Darm!
Gut mit Kell: Freund, reinige deinen Darm!
Meine Nachbarin
Meine Nachbarin
Glänzend
Glänzend
Kreativität als Kompass
Kreativität als Kompass
Die Auswirkung von Angst und Trauer auf die Kreativität
Die Auswirkung von Angst und Trauer auf die Kreativität
Die Wirkung der Einsamkeit auf die Kreativität
Die Wirkung der Einsamkeit auf die Kreativität
Aber was ist, wenn ich nirgendwo zurückkehren kann?
Aber was ist, wenn ich nirgendwo zurückkehren kann?
Die unsichtbare Trauer
Die unsichtbare Trauer
Ich höre endlich auf zu rauchen
Ich höre endlich auf zu rauchen
Ich fühle mich nicht länger schuldig, nicht Lockdown-produktiv zu sein
Ich fühle mich nicht länger schuldig, nicht Lockdown-produktiv zu sein
Amerika war schon immer eine brutale, einsame Wildnis
Amerika war schon immer eine brutale, einsame Wildnis
Ein kurzer Rückblick auf zwei Szenen in 'Borat 2'
Ein kurzer Rückblick auf zwei Szenen in 'Borat 2'
Ihr Transgender-Kind braucht einen Therapeuten - und Sie auch
Ihr Transgender-Kind braucht einen Therapeuten - und Sie auch
Lebensunterricht mit freundlicher Genehmigung meines Transgender-Sohnes
Lebensunterricht mit freundlicher Genehmigung meines Transgender-Sohnes
Ich weigere mich, die Sorge die ganze Macht haben zu lassen
Ich weigere mich, die Sorge die ganze Macht haben zu lassen
Irritierende Gesichtsmasken, Mode und COVID-19-Ängste
Irritierende Gesichtsmasken, Mode und COVID-19-Ängste
Samsung Galaxy Note 20 Ultra: Richtiges Telefon, falsche Zeit
Samsung Galaxy Note 20 Ultra: Richtiges Telefon, falsche Zeit
Ein Rückblick auf Buddy Ebsens Rolle in „The Andy Griffith Show“
Petula Clark sagte, dass „Downtown“ ein verzweifeltes Lied enthüllte
Sam Heughan weiß genau, was er vom „Outlander“-Set mitnehmen wird – „Ich fühle mich wie Jamie, wenn ich sie anziehe“
John Lennon erzählte, warum „The Tonight Show“ die „peinlichste“ Show war, in der er je mitgewirkt hatte
Dolly Parton fand Gott in einer verlassenen Kirche, in der einheimische Teenager zum Sex missbraucht wurden
Ringo Starr weigert sich, mit einem Click-Track zu spielen, und das macht ihn zu einem besseren Schlagzeuger
Nicole Kidman liebte dieses attraktive Feature, das Michael Keaton und Val Kilmer als Batman teilten
Der Beatles-Song Peter Asher nannte ihn den „größten Song, den ich je gehört habe“
Paul McCartney stellte sich vor, wie seine Mutter auf seinen Erfolg reagiert hätte
Paul McCartney war wegen der einzigen abgesagten Show der Beatles so gestresst, dass er sich übergeben musste
Der Rat von Jimmy Page für junge Musiker stammt direkt aus dem Motivational Speaker Handbook
Quentin Tarantino verriet einmal, dass die interessanteste Figur, die er je geschrieben hat, in „Pulp Fiction“ war.
Der frühe Beatles-Song, der laut einem Fab-Four-Insider einer der „aufregendsten Auftritte“ der Band war
Paul McCartney sagte, er habe „Glück gehabt“, dass er nie Heroin konsumiert habe 
Paul McCartney: Leiden machte 1 Song aus dem „White Album“ der Beatles gut
„Sympathy for the Devil“ der Rolling Stones klang ursprünglich wie brasilianische Musik
Warum Paul McCartney davor zurückschreckte, die Wahrheit über die Beatles zu sagen
Bradley Coopers Schauspielkarriere stand auf dem Spiel, als er bei diesem Projekt mit Julia Roberts zusammenarbeitete
Winona Ryder teilte einmal mit, dass alle ihre Charaktere zu Beginn ihrer Karriere als „hässliches Mädchen“ beschrieben wurden
„Der seltsame Fall der Natalia Grace“: Wo sind Nataila, Kristine und Michael Barnett heute?
John Lennon sagte 1 Zeile in „Revolution“ der Beatles und kommentierte die Polizei
Wie Paul McCartney auf den Titel von „Lucy in the Sky with Diamonds“ der Beatles reagierte
Donovan verglich einen seiner Songs mit „Lucy in the Sky with Diamonds“ der Beatles
Wie John Ritter starb: Rückblick auf den Tod des „Three’s Company“-Schauspielers
Taylor Sheridan hat gerade einen seiner Lieblingsstars aus „Yellowstone“ zur Besetzung von „Lawmen: Bass Reeves“ hinzugefügt.
Billy Crystal und Robin Williams haben ihren gesamten „Friends“-Cameo-Auftritt mit Werbebotschaften versehen
Jana Duggar: Alles, was sie über die Liebe gesagt hat und ihr 5-Jahres-Fenster, um den „Einen“ zu finden
George Harrison war verärgert: Seine Texte für Donovans „Hurdy Gurdy Man“ wurden nicht verwendet
Judy Norton von „The Waltons“ merkte, dass sie manchmal „eine Göre“ war, als sie die Show drehte
Paul McCartney sagte: „Sgt. In Peppers Song geht es nicht um Heroin
Gene Simmons sagt, dass KISS-Comics möglicherweise „die Menschheit neu erschaffen könnten“.
Der Song von Paul Simon, der Bob Dylan perfekt parodierte 
Brad Pitt und Harrison Ford mussten spontan „The Devil's Own“ erfinden, als das „Drehbuch“ verworfen wurde
Prince arbeitete eine Stunde lang an einem Song von Stevie Nicks und verdiente die Hälfte der Tantiemen 
Dolly Parton half ihrer „invaliden“ Großmutter, als keines der anderen Enkelkinder es tat – sie machte ihr auch Streiche
Frank Sinatras „My Way“ war nicht so groß wie sein „Old MacDonald“
„Boy Meets World“: Warum ist Mr. Turner aus der Serie verschwunden?
Wie Melissa Gilbert einen Vogel rettete, indem sie ihn unter ihrem Nachthemd gefangen hielt
Stevie Nicks „schnappte“ sich einen Song von Joni Mitchell, als sie spürte, dass ihre Musikkarriere scheiterte
Christopher Nolan bereute es einst, Quentin Tarantinos „Pulp-Fiction-Drehbuch“ gelesen zu haben
„Schlaf nicht in der U-Bahn“ verwirrte Petula Clark
Paul McCartney sagte, „When I'm Sixty-Four“ der Beatles sei ein Witz gewesen
Mick Jagger sagte, dass „Their Satanic Majesties Request“ der Rolling Stones von Acid und nicht von den Beatles inspiriert sei
Rolling Stones: Keith Richards wurde von einer Gruppe Musikfans, die die Band kritisierten, sauer
Paul McCartney erzählte, was ihn an John Lennon am meisten beeindruckte, als sie sich das erste Mal trafen
Die beste Zeit, den Drehort von „Little House on the Prairie“ zu besuchen
John Lennon sagte, das Lied dieser B-52 klang „genau wie Yokos Musik“
MIA griff einmal John Lennons „Give Peace a Chance“ an
Martha Mitchell: Die Frau, die zu viel über Watergate wusste
Tolle Fluchten! 5 wilde Tiere, die ausbrachen und auf die Flucht gingen
Ja, männliche Seepferdchen gebären! Hier ist wie
Können virtuelle Kraftwerke helfen, das US-Energienetz zu stabilisieren?
Wer war Pontius Pilatus vor und nach der Kreuzigung Jesu?
Wellensittiche sind super sozial und tolle Haustiere
Was ist der Unterschied zwischen Instant- und Aktiv-Trockenhefen?
Wo sich die Waldbrandprävention am meisten auf Mensch und Klima auswirkt
9 der größten Hühnerrassen
5 eloquente und nachhaltige Zitate von Maya Angelou
Chief Plenty Coups: Visionärer Anführer und Verteidiger der Crow Nation
Das Rätsel des Wassermanns enthüllen: Die einzigartige Essenz der Luft erforschen
Warum haben die USA kein „rückgabefreies“ Steuererklärungssystem?
Ein Blick auf die denkwürdigsten Hochzeiten des Weißen Hauses
Müssen Sie eine positive Einstellung haben, um Krebs zu besiegen?
Schlafen Fische?
Woher kommt der Ausdruck „On the Lam“?
Ukrainische Flüchtlinge dürfen auch nach Kriegsende niemals nach Hause zurückkehren
Was ist der Unterschied zwischen einer Demokratie und einer Republik?
Ist Induktionskochen besser als Gas oder Elektro?
The Secrets of Airline Travel Quiz
Würden Sie Casu Marzu essen, den illegalen Käse mit Maden?
Tarotkarte „Sechs der Schwerter“: Den Weg zum Übergang und zur Heilung freischalten
Könnte neu gemessenes W-Boson das Standardmodell brechen?
Der höchste Berg im Sonnensystem ist viel höher als der Everest
Warum Sriracha die beliebteste scharfe Soße aller ist
Was ist Luftfeuchtigkeit und welchen Einfluss hat sie auf die Temperatur?
Where in the World Are You? Take our GeoGuesser Quiz
Pripjat: Die ukrainische Geisterstadt im Schatten von Tschernobyl
Was bedeutet CC in E-Mails?
Welche ist die süßeste Grapefruit – weiß, rot oder pink?
Eine winzige Gruppe von Samaritern praktiziert immer noch ihre alte Religion
Elon Musk besitzt Twitter. Was könnte möglicherweise falsch laufen?
Sollten Sie Facebook oder Google verwenden, um sich auf anderen Websites anzumelden?
Die Atlasmotte ist eine Behe-Motte plus 5 weitere Fakten
Ketanji Brown Jackson Confirmed as Supreme Court Justice
Hagfish: Diese aalähnliche Schleimmaschine ist der Albtraum eines Raubtiers
Wie man Abflussfliegen loswird
Vielleicht kannst du zu dünn sein? Lernen Sie den dünnsten Wolkenkratzer der Welt kennen
Was ist eine Giftpille und wird Twitter Elon Musk in Schach halten?
$ 1.500 heute Kauft einen Yellowstone Pass für 2172
Spenden Sie Ihr Haar, um unser Wasser sauber zu halten
Werfen Sie diese Pappröhren nicht weg! 10 Möglichkeiten, sie wiederzuverwenden
Die Biennale in Venedig ist die „Olympiade der Kunst“
Die Orchideen-Mantis sieht aus wie eine Blume, „sticht“ wie eine Biene
Was ist Völkermord und begeht Russland ihn in der Ukraine?
Wer hat das gesagt? Das Synchronsprecher-Quiz
The Bear-Zusammenfassung: Ist Marcus der netteste, sanfteste und aufrichtigste Mann in Chicago?
Deadpool und Wolverine werden endlich Marvels X-Men-Filme freischalten
Ich flehe die Spieler von Final Fantasy 14 an, einfach die Dialoge in Dawntrail zu lesen
Würden Sie für 9.800 US-Dollar Ihren Wagen in diesen siebensitzigen Toyota RAV4 Baujahr 2008 packen?
Oberster Gerichtshof hört Argumente darüber, ob das texanische Gesetz Ihre Pornogewohnheiten bestimmen kann
Halten Sie Ihre Katze mit diesen wissenschaftlich fundierten Strategien davon ab, Möbel zu zerkratzen
Beverly Hills Cop: Axel F-Rezension: Eddie Murphy lässt es in Netflix‘ unkompliziertem Rückblick ruhig angehen
Xbox erleidet großen Ausfall [Update: Es funktioniert wieder]
Mein Elden-Ring: Beschwörung von Spielern aus Shadow Of The Erdtree, Rangliste
Amazon-Lieferwagen brennt während der Sommerhitze in Houston in Flammen auf
Zwei palästinensische Kinder sind „traumatisiert“, nachdem eine Frau angeblich versucht hat, sie zu ertränken
Einige Mortal Kombat-Fans befürchten, dass das neueste Spiel bereits tot ist, aber es könnte komplizierter sein
Fahrer schafft es, Tesla Cybertruck umzudrehen, kein autonomes Fahren erforderlich
Jetzt können Sie den kultigsten Bikini der Science-Fiction besitzen
Oberster Gerichtshof entscheidet, dass Trump Immunität für alle zwischen 9 und 17 Uhr begangenen Verbrechen genießt
Ridley Scott „war nicht glücklich“, als die Fortsetzungen von Alien und Blade Runner verschenkt wurden
Unheimliche Turbulenzen lassen Mann in viralem Video in Gepäckablage fliegen
Ein Mann aus Louisiana schickte vor einer Verbrechensserie eine eindringliche Warnung
Biden kontert Urteil des Obersten Gerichtshofs zur Immunität Trumps und weist auf die Gefahr unkontrollierter Macht hin
Marvels Black Panther Show wird die bisher bedeutendste Animationsserie
Schlechte Nachrichten für Fani Willis und ihren Fall der Wahlbeeinflussung durch Trump
Kann Simone Biles SZA auf die Olympischen Spiele vorbereiten?
Sehen Sie sich den Motorweek-Test des Sterling an, eine vergessene britische Interpretation der Acura-Legende
RIP Robert Towne, Oscar-prämierter Drehbuchautor von Chinatown
Nicht gut: Hurrikan Beryl ist der früheste Sturm der Kategorie 5 in der aufgezeichneten Geschichte
Tianas Bayou-Abenteuer bricht mit 87 Jahren merkwürdigem Disney-Prinzessinnen-Kanon
Neue Open-Source-Fehler machen Tausende iOS-Apps anfällig für Hijacking
Erinnern Sie sich, als eine niederländische Fluggesellschaft 440 Eichhörnchen in einen riesigen Schredder warf?
Trotz russischer Propagandabehauptungen hat Selenskyjs Frau keinen Bugatti Tourbillon gekauft
Cate Blanchetts durch Kettensägen angeheizte Lockdown-Hysterie führte sie nach Borderlands
Beliebter YouTube-Rapper und berühmter TikTok-Zauberer liefern sich viralen Bell-Wettstreit
Cate Blanchett erklärt, warum sie im Borderlands-Film mitspielt
Boeing möchte, dass alle aufhören, zu behaupten, der Starliner-ISS-Test sei ein Reinfall
Lionsgate gibt sich ein Jahr Zeit, den Titel von „Die Unfassbaren 3“ in „Die Unfassbaren – Now You Three Me“ zu ändern
McLaren kann einfach nicht aufhören, IndyCar-Fahrer zu feuern, obwohl es ihm sogar Spaß macht
Twister-Regisseur bekam die Tornado-Warnung vor Twisters nicht
Darum war Eddie Murphy „gezwungen“, sein berühmtes Lachen zu ändern
Umfrage: Demokraten liegen hinter Trump, egal ob sie Biden durch Biden, Biden oder Biden ersetzen
Papst Franziskus ernennt ersten Millenniumsheiligen
KI, um Stimmen verstorbener Prominenter auszugraben und Ihnen PDFs oder Ähnliches vorzulesen
MaXXXine ist eine reißerische Hollywood-Geschichte, die sich zu zahm anfühlt
BMW will nicht, dass auf einem Autotransporter verbrannte Autos zum Verkauf angeboten werden
Tun Sie sich selbst einen Gefallen und schauen Sie sich das beste Speedrunning-Event des Jahres an
Eddie Murphy berichtet über alles auf seiner Pressetour „Beverly Hills Cop: Axel F“
Sie möchten eine Corvette, aber sie soll schrecklich aussehen? Wir haben das richtige Auto für Sie
Ich habe ein Wochenende mit Remote Play und Cloud Gaming verbracht und es war irgendwie großartig
Eine von Ryan Reynolds‘ vielen abgelehnten Deadpool 3-Ideen war ein Indie-Roadtrip
Land Rover Defender Octa ist ein 626 PS starkes Biest für die Raptoren dieser Welt
Dwayne Johnson sagt, seine Mutter sei nach einem nächtlichen Autounfall „in Ordnung“ und werde „weiterhin untersucht“
Amazon-Käufer sagen, dass sie „wie ein verwöhntes Baby“ schlafen, dank dieser Seiden-Kissenbezüge, die nur 10 US-Dollar kosten
Kevin Jonas' Tochter Alena sieht auf dem Geburtstagsfoto ganz erwachsen aus: "9 Jahre alt fühlt sich nicht echt an"
Yasmin Vossoughian von MSNBC sagt, dass der Arzt ihre Schmerzen in der Brust als Reflux abgetan hat, dann begann ihr „Albtraum“.
Jimmy Buffett, „Margaritaville“-Sänger, mit 76 Jahren gestorben
TJ Watt möchte, dass Tom Brady und Bruder JJ gemeinsam in die NFL Hall of Fame aufgenommen werden
'Flashdance'-Sängerin Irene Cara starb an Bluthochdruck, hohem Cholesterinspiegel: Bericht
Körper, von denen angenommen wird, dass sie Rappern gehören, die seit dem abgesagten Auftritt vermisst wurden, wurden gefunden: „Sie haben das nicht verdient“
Bob Barker, langjähriger „The Price Is Right“-Moderator, mit 99 Jahren gestorben: „The World's Greatest MC“
Lizzo erhält Warenzeichen für „100 % THAT Bitch“ in Umkehrung, nachdem der Antrag abgelehnt wurde
Muni Long sagt, sie habe es noch nicht „verarbeitet“, 3 Grammy Noms zu verdienen: „Alles geht so schnell“
Suzanne Somers und Alan Hamels Beziehungszeitleiste
Charly Reynolds enthüllt kürzliche Stimmbandoperation: „Ich hatte Probleme beim Singen“
Whoopi Goldberg zeigt Kit Harington ihre von „Game of Thrones“ inspirierte Toilette: „Ein echter Eiserner Thron“
Trevor Noah sagt, Beyoncés „Break My Soul“ sei der „Soundtrack meines Lebens“, als er die „Daily Show“ verließ
US-Eiskunstlauf „frustriert“ durch das Fehlen einer endgültigen Entscheidung im Team-Event, fordert eine faire Entscheidung
Eric und Jessie James Decker „knutschen immer übereinander“ – und die Kinder mögen das nicht
Vermisstes Mädchen, 17, wahrscheinlich erfroren, nachdem es im ländlichen Wisconsin in einen Graben gefahren war: Beamte
Purdue University Professor wegen angeblichen Meth-Handels und Angebots von Frauen wegen sexueller Gefälligkeiten verhaftet
Käufer sind sich einig, dass diese Bodenkehrmaschine von Black + Decker „viel schneller“ ist als ein herkömmlicher Besen, und sie ist im Angebot
Yara Shahidis Familie: Alles über die Eltern und Geschwister der Schauspielerin
Marvel veröffentlicht tatsächlich eine fiktive Scott-Lang-Abhandlung aus „Ant-Man and the Wasp: Quantumania“
Melissa Gorga ist sich nicht sicher, ob sie die Fehde mit Teresa Giudice lösen wird: „Wie giftig kann man etwas werden lassen?“
Tom Girardi nimmt an der Anhörung teil, um festzustellen, ob er wegen Betrugsvorwürfen vor Gericht stehen darf
Chloe Cherry aus „Euphoria“ wird wegen Diebstahls angeklagt, weil sie angeblich eine Bluse im Wert von 28 Dollar gestohlen hat
Danielle Moné Truitt von „Law & Order“ glaubt, dass Fans „ausgetrickst“ wurden; Von Stabler und Benson Kiss Tease
Olympiateilnehmerin Jasmine Camacho-Quinn feiert, dass ihr Bruder Robert Quinn zum Super Bowl aufbricht
Der „sehr leise“ leichte Haartrockner, von dem Käufer sagen, dass er ihnen ein „Salon-Finish“ verleiht, kostet bei Amazon nur 20 US-Dollar
Animal Rescue warnt: „Färbe niemals einen Vogel“, nachdem eine „kämpfende“ rosa Taube in New York gefunden wurde
Molly Ringwald feiert 22. Jahrestag mit Ehemann Panio Gianopoulos: „Beste Entscheidung, die ich je getroffen habe“
Paul McCartney darüber, „romantisch“ mit Frau Nancy Shevell zu sein: „Ich übertreibe den Valentinstag völlig“
In diesem geheimen Verkaufsbereich bei Nordstrom Rack verstecken sich mehr als 2.500 Kaltwetter-Styles – ab 6 $
Wer ist Lisa Vanderpumps Ehemann? Alles über Ken Todd
Drakes Dating-Geschichte: Von Rihanna bis Jennifer Lopez
Wer ist Walker Scobell? Alles über den Percy Jackson and the Olympians Star
Maggie Gyllenhaal und Peter Sarsgaards Beziehungszeitleiste
Bengals Running Back Joe Mixon wegen Haftbefehl gesucht, weil er angeblich mit einer Schusswaffe auf eine Frau gerichtet war
Heather Rae und Tarek El Moussa begrüßen ihren kleinen Jungen: „Unsere Herzen sind so glücklich“
Susan Lucci erinnert sich unter Tränen an ihren verstorbenen Ehemann, als sie zugibt, dass sie noch nicht bereit ist, mit einem Date zu beginnen
Wer ist Vince Vaughns Frau? Alles über Kyla Weber
Kirstie Alleys Nachlass listet das 6-Millionen-Dollar-Haus von Late Star in Florida auf, das sie von Lisa Marie Presley gekauft hat
Krankenschwester Lucy Letby wurde wegen Mordes an sieben Kleinkindern im britischen Krankenhaus für schuldig befunden
Alles über die Beziehung von Zoë Kravitz zu ihren Eltern Lenny Kravitz und Lisa Bonet
Frau lebend und nach Luft schnappend in Leichensack im Bestattungsunternehmen in Iowa gefunden
Frau, die vor 37 Jahren starb, nachdem sie bewusstlos auf dem Ga. Highway gefunden wurde, als vermisste Mutter von 4 identifiziert
Matthew McConaughey enthüllt, dass ein Wahrsager ihm sagte, er solle in „How to Lose a Guy in 10 Days“ mitspielen
Gwyneth Paltrow enthüllt das Date-Night-Kleid, das sie aus ihrer Beziehung mit Brad Pitt behalten hat 
Margaret Josephs verteidigt die „verheerende“ Entscheidung von Melissa und Joe Gorga, die Hochzeit von Teresa Giudice zu überspringen
Kann man mit 13 mit MTF HRT-Hormonen beginnen?
Ist 18 ein gutes Alter, um zu MTF zu wechseln?
Ist es in Ordnung, dass ich 13 Jahre alt bin, aber im Herzen immer noch ein Kind bin?
Transgender: Was war der schwierigste Teil Ihres Übergangs vom Mann zur Frau?
Welche Änderungen treten auf, wenn Sie mit 13 eine HRT erhalten?
Ich bin 16 und werde nächsten Monat 17. Wie bekomme ich einen Therapeuten, wenn meine Mutter denkt, ich brauche keinen?
Ich bin eine 14-jährige, die sich schnell von ihren Hobbys langweilt. Wie finde ich meine Leidenschaft und mein Talent?
Was ist das Nützlichste, was ich tun kann, wenn ich 14 bin?
Ich bin 19. Bin ich noch in der Pubertät?
Wie bekomme ich eine HRT, ohne zu sagen, dass ich eine HRT möchte?
Ich bin ein depressiver 13-Jähriger und möchte deswegen einen Arzt aufsuchen, aber ich habe Angst davor und dass meine Eltern es nur als meine Hormone und so abtun werden. Was soll ich machen?
Wie mache ich einen Arzttermin ohne meine Eltern und ohne dass sie wissen, warum ich gehe? Ich bin 15.
Was sind die notwendigen Lebenskompetenzen, die ich in diesem Sommer von 3 Monaten beherrschen kann? Ich bin 17 Jahre alt.
Welche Medikamente können einen Mann ohne Operation in eine Frau verwandeln?
Was ist der beste Weg, um auf natürliche Weise von Mann zu Frau zu wechseln?
Was sind die negativen Auswirkungen der Pubertät (psychische Gesundheit usw.)?
Ich wandle von Frau zu Mann um. Wie soll mein neuer Name lauten?
Ich bin heute 19. Was ist das Wichtigste, was ich lernen sollte?
Was kann ein 14-Jähriger tun, um sein Leben besser/leichter zu machen?
Bin ich immer noch Transgender (FTM), wenn ich erst in der Pubertät anfing, Anzeichen zu zeigen?
Wie stoppe ich die Pubertät ohne Pubertätsblocker?
Was ist das Wichtigste, was ein 14-jähriger Teenager beachten sollte?
Ist es eine gute Idee, mit der HRT mit 18 (Transgender) zu beginnen?
Ich bin 13, transgender (ftm) und gehe seit ein paar Monaten zu einem Therapeuten. Wie kann ich ihr sagen, dass ich transgender bin, und sie bitten, sich zu outen?
Ich bin ein 21-jähriger Student. Was kann ich jetzt tun, das mein Leben für immer verändern wird?
Ich bin 23 Jahre alt. Was kann ich jetzt tun, das mein Leben für immer verändern wird?
Wie kann ich als 13-Jähriger Geld sparen und aufbewahren, ohne dass meine Eltern es wissen?
Was ist das beste Alter, um mit dem Übergang von Frau zu Mann zu beginnen?
Was soll passieren, wenn man nie in die Pubertät kommt?
Wie kann ich mein Leben mit 17 ändern?
Wenn ich mich informieren möchte, um eine Behandlung zur Geschlechtsumwandlung zu beginnen, welchen Arzt sollte ich aufsuchen?
Wird HRT für Transgender-Teenager empfohlen?
Was ist Ihrer Meinung nach der schwierigere Geschlechtswechsel, weiblich zu männlich (FzM) oder männlich zu weiblich (MzF)?
Ich bin gerade 17 geworden, was tue ich jetzt, um mir das beste Leben zu garantieren?
Lohnt sich eine Gesäßoperation für einen Mann-zu-Frau-Übergang?
Ich werde in einem Monat 17 und habe darüber nachgedacht, dass ich mich nicht wirklich anders fühle als 11, ist das normal? Werde ich mich wirklich verändern, wenn ich älter werde?
Wie starte ich meinen Übergang vom Mann zur Frau? Ich war innerlich immer ein Mädchen. Was muss ich tun?
Ich bin 17 Jahre alt, was soll ich tun, um mehr Wissen zu erlangen?
Ich bin 19 und Einzelkind. Ich werde depressiv und mache mir Sorgen, dass meinen Eltern etwas passiert, weil sie alles sind, was ich habe. Ich habe keine Freunde und konnte mir mit der Pandemie auch keine aneignen. Ich habe Angst alleine zu sein, was kann ich tun, um mir selbst zu helfen?
Ich bin 30 Jahre alt. Was kann ich jetzt tun, das mein Leben für immer verändern wird?
Ich werde morgen 16. Welchen konkreten Rat können Sie einem 16-jährigen Jungen geben?
Ich bin 14 Jahre alt, welchen Rat würden Sie mir gerne geben, der für den Rest meines Lebens hilfreich sein wird?
Wie fühlt es sich an, während des Geschlechtswechsels vom Mann zur Frau Brüste wachsen zu lassen?
Wie lebe ich das Leben als 19-Jähriger in vollen Zügen?
Warum habe ich noch nie eine Frau-zu-Mann-Transgender-Person gesehen?
Ist Spironolacton schlecht für die HRT?
Verläuft die Pubertät in Phasen? Kann es aufhören und dann wieder anfangen?
Was sind die Vor- und Nachteile der Pubertät?
Wie kann man sehen, ob ein Array zwei oder mehr Elemente enthält, die gleich sind? [Duplikat]
Java: Anzahl aller unterschiedlichen Schlüssel und Werte in Map <String, Set <String >> [duplizieren] abrufen
Könnte Uranus aufgrund seiner inneren Zusammensetzung und des Mangels an innerer Wärme eine feste Oberfläche haben?
Gibt es eine doppelt erzwungene Partnerposition?
Die sauberste Art, BeginTransaction mit try catch zu verwenden
Verwendung eines ungewöhnlichen hebräischen Wortes für "leuchtete" in Exodus
Kann der Stern-Brocot-Baum zur besseren Konvergenz von eingesetzt werden? $2^m/3^n$?
Warum fliegen Flüge nicht früher in Richtung ihres Landeanflugweges?
„ $\Sigma_1^1$-Peano-Arithmetik ”- macht es fest $\mathbb{N}$?
Ein tieferer Einblick in den Sicherheitsvorfall vom Mai 2019: Feedback zu Blog-Posts
Was sind Ellerman-Bomben und wie können wir sie identifizieren?
Nginx-Proxy für Tomcat mit SSL
Was ist die Matrix des Logarithmus des abgeleiteten Operators ( $\ln D$)? Welche Rolle spielt dieser Operator in verschiedenen mathematischen Bereichen?
Kann man maximale Antichains in Form von Verteilungsgittern charakterisieren?
Ist es beleidigend, meinen schwulen Charakter am Ende meines Buches zu töten?
Abrufen des href-Werts eines Link-Felds eines Link-Elements in scriban [Duplikat]
Joomla Wählen Sie aus DB UND / ODER-Gruppierung
winforms C # .NET - So verbessern Sie die Leistung meines Codes bei Verwendung von Schleifen (for, foreach usw.) [geschlossen]
Moses erste Gruppe von Führern Exodus 18:21
Entfernen Sie den inneren Rand in Typ = Farbe
"Vierzig Tage und vierzig Nächte"
Was ist der richtige Weg, um einen C # -Socket in .NET Core 3.1 zu schließen?
Opt-in-Alpha-Test für einen neuen Stacks-Editor
Warum waren eingelegtes Obst und Gemüse im Zeitalter des Segels nicht Teil der (europäischen) Rationen?
Wie entferne ich die Saturnringe?
So erhalten Sie bestimmten Text, der zur div-Klasse gehört
Wilson-Effekt: Wie „tief“ sind Sonnenflecken?
Kubernetes - Ist es möglich, Pod.yaml und Service.yaml in einer yaml-Datei zu kombinieren (jedoch ohne Bereitstellung)?
Der Mond hat genau die richtige Geschwindigkeit, um nicht auf der Erde zusammenzustoßen oder in den Weltraum zu entkommen. Was sind die Chancen?
Regex_Suche c++
Reflexionsprinzip gegen Universen
Die Geschichte der Werwolfmode, Teil 1: Die 2000er Jahre
Wie lautet die Regelung für den Krieg in Städten?
Kann der Oberste Gerichtshof eine Amtsenthebung für verfassungswidrig erklären? [Duplikat]
Fragen Sie nach der Erlaubnis [Präfix] [Infix] [Suffix]. Was ist [ganz]?
Beweisen Sie, dass eine Folge $\{a_n\}_n$definiert von $a_1=-\frac14$und $-a_{n+1}=\frac{a_na_{n+1}+4}4$konvergiert und finde seinen Grenzwert.
Wie liste ich meine k8s-Jobs mit einem komplexen LabelSelector nach Client-Go auf?
Muss ich meine App als Open Source-Version verwenden, wenn ich unveränderte API-Daten verwende, die unter CC-BY-SA 4.0 lizenziert sind?
Was sind die größten Hindernisse, um RL in Produktion zu bringen?
Wie kann man im Mittelalter Geschwindigkeitsbegrenzungen auf Straßen überwachen? [Duplikat]
Können wir aus Mars-Sandstürmen Strom erzeugen? Wenn ja, kann es zur Stromversorgung von Kolonien verwendet werden?
Fallstudie: Was braucht es, um Quillens Argument für kleine Objekte in ZFC zu formulieren und zu beweisen?
Wie groß müsste ein QR-Code auf meinem Dach sein, damit ein Satellit ihn bei der heute zulässigen Auflösung scannen kann?
In Bezug auf einen Doktorandenberater, der einen Studenten aufgrund gesundheitlicher Probleme ablehnt
"Sie machen keine Schuld und sterben"
3 x 2 Schiebepuzzle
Wenn Beizen Vitamin C zerstört, wie ist Sauerkraut reich an Vitamin C?
int_fast8_t-Größe vs. int_fast16_t-Größe auf der x86-64-Plattform
5 Kreative Schreibtechniken, die zu interessanten Artikeln führen
5 Kreative Schreibtechniken, die zu interessanten Artikeln führen
Ein Chatbot für Asset Control
Ein Chatbot für Asset Control
Schweigen
Schweigen
Das Vertrauen in Ihren ersten Instinkt in einer Beziehung ist von entscheidender Bedeutung
Das Vertrauen in Ihren ersten Instinkt in einer Beziehung ist von entscheidender Bedeutung
Was wir im Jahr 2020 bauen
Was wir im Jahr 2020 bauen
Spezifische Unterdrückung von Flussfehlern
Spezifische Unterdrückung von Flussfehlern
Top-Programmiersprachen für KI-Ingenieure im Jahr 2020
Top-Programmiersprachen für KI-Ingenieure im Jahr 2020
Gründe, sich für PyTorch für Deep Learning zu entscheiden
Gründe, sich für PyTorch für Deep Learning zu entscheiden
Samantha Lazar
Samantha Lazar
Der Wirbel eines Jahres
Der Wirbel eines Jahres
Die Einladung
Die Einladung
Zwei Python-Repositorys für die Textvisualisierung
Zwei Python-Repositorys für die Textvisualisierung
Das Beste daraus machen: Hybrid App UX Design
Das Beste daraus machen: Hybrid App UX Design
Benachrichtigung &amp; Alarme im Flattern
Benachrichtigung & Alarme im Flattern
6 Dinge, die ich von Brendon Burchard gelernt habe
6 Dinge, die ich von Brendon Burchard gelernt habe
Hochproduktive Menschen haben eine rituelle Morgenroutine
Hochproduktive Menschen haben eine rituelle Morgenroutine
Tun Sie bis Mittag die Sache, die Ihnen am wichtigsten ist
Tun Sie bis Mittag die Sache, die Ihnen am wichtigsten ist
Warum Sie Dinge nicht persönlich nehmen sollten
Warum Sie Dinge nicht persönlich nehmen sollten
5 Dinge, die Leistungsträger gemeinsam haben
5 Dinge, die Leistungsträger gemeinsam haben
Halloween im Spektrum
Halloween im Spektrum
Ich bin ein autistischer Erwachsener und ich hasse Halloween
Ich bin ein autistischer Erwachsener und ich hasse Halloween
Ich hätte nie gedacht, dass ich George W. Bushs Anstand zustimmen würde
Ich hätte nie gedacht, dass ich George W. Bushs Anstand zustimmen würde
Die Entstehung dezentraler Finanzen
Die Entstehung dezentraler Finanzen
Visualisierung des explosiven Wachstums von DeFi im Jahr 2020
Visualisierung des explosiven Wachstums von DeFi im Jahr 2020
ja/shares
es/shares
de/shares
fr/shares
th/shares
pt/shares
ru/shares
vi/shares
it/shares
ko/shares
tr/shares
id/shares
pl/shares
hi/shares
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved