Alternativas para enviar contraseñas de texto sin formato al iniciar sesión

Jan 02 2021

Nota: Ya leí ¿Está bien enviar una contraseña de texto sin formato a través de HTTPS? y seguridad https: ¿la contraseña debe tener hash del lado del servidor o del lado del cliente? , pero aquí se trata de un método de reemplazo específico (ver más abajo).

Después de leer un artículo sobre un nuevo método de autenticación en el blog de Cloudflare , miré las POSTsolicitudes que se envían durante la autenticación con "Herramientas de desarrollo> Red". Muchos sitios web populares (Reddit, HN, etc.) aún envían la contraseña en texto plano en la POSTsolicitud ( protegida por SSL) (vea la captura de pantalla a continuación).

¿Este método de inicio de sesión sigue siendo estándar en la industria?

¿Es la siguiente alternativa más segura que enviar una contraseña en texto plano a través de HTTPS?

  • signup: el cliente genera un aleatorio salty envía la tupla a (username, salt, hash(plain_password + salt))través de una POSTsolicitud. Entonces, la contraseña de texto sin formato nunca llega al servidor.

  • inicios de sesión subsiguientes: el servidor tiene que enviar de saltvuelta a cualquier cliente que intente iniciar sesión con un determinado username, para que el cliente pueda hacer hash con la misma sal. Esto significa que el servidor se lo está revelando salta cualquiera que intente iniciar sesión con un nombre de usuario determinado.

  • Beneficio: el servidor almacena una contraseña con hash + salteada (que es estándar) pero también el servidor nunca, nunca, ha visto la contraseña de texto plano ni una sola vez (por lo que si el servidor está comprometido, el riesgo es limitado)

Notas:

  • dado que H = hash(plain_password + salt)ahora se comporta un poco como un nuevo plaintext(consulte la segunda respuesta de Prueba de contraseña de conocimiento cero: ¿por qué el hash de la contraseña en el lado del cliente no es un ZKP? ), entonces el servidor puede almacenar (username, salt, server_salt, hash(H + server_salt))en la base de datos, en lugar de (username, salt, H).

  • Para mitigar los riesgos de ataques de repetición, el servidor también puede enviar un único nonce, junto con saltcada inicio de sesión, que expira después de un intento de inicio de sesión.

  • el objetivo principal aquí es que el servidor nunca tenga acceso a la contraseña de texto sin formato o un simple hash de la misma (que a menudo podría revertirse con una sola tabla de arco iris para todo el sitio). Estoy de acuerdo con el riesgo de que un atacante tenga que calcular una tabla de arco iris por usuario .

  • Ejemplo de ataque que me gustaría mitigar: si el servidor tiene acceso a una contraseña de texto sin formato y está comprometido (por ejemplo, Spectre / Meltdown vuln.), Entonces la contraseña de texto sin formato del usuario (posiblemente reutilizada en otros sitios web) podría ser robada, antes de que sea salada. -hashed y guardado en la base de datos.

Respuestas

14 SteffenUllrich Jan 02 2021 at 14:38

No veo cómo su propuesta es mejor que los enfoques de hash del lado del cliente existentes, pero la encuentro más compleja de implementar que otras. Desafortunadamente, no describe un riesgo específico al que está intentando acceder, así que asumo las amenazas típicas que se ven comúnmente.

Hombre en el atacante de en medio

En este caso, se supone que algún hombre en el medio tiene acceso al tráfico, por ejemplo, porque comprometió la interceptación de TLS de tráfico confiable en un firewall corporativo o se apoderó de una CA confiable como en el caso de superfish .

En este escenario, el atacante obtiene acceso al Hmismo que antes con plain_password. Dado que Hes todo lo que se necesita para la autenticación, el atacante tiene éxito y su enfoque no agrega ninguna protección adicional aquí .

Ocultar contraseñas débiles y reutilización de contraseñas

Un argumento común para el hash del lado del cliente es no exponer una contraseña débil o reutilizada al servidor, sino autenticarse con una contraseña derivada compleja. Su enfoque hace con el hash plain_passwordcon algún usuario generados al azar salty luego enviar Hy saltal servidor de configuración de la contraseña.

Si bien esto funciona, cada autenticación ahora requiere un paso adicional : primero necesita recuperar del usuario la sal utilizada anteriormente para el usuario y luego puede usar esto saltpara hacer hash del archivo plain_password. Este paso adicional hace que la autenticación sea más compleja, ya que primero debe verificar al usuario con el servidor y luego puede verificar la contraseña. Además, una implementación trivial de esto abre una fuga de información ya que permite verificar si el usuario existe en primer lugar (se devolvió sal o no) sin más autenticación.

Esta fuga de información puede ser cerrada por el servidor devolviendo algo de sal sin importar si el usuario existe o no. Por supuesto, esto no puede ser solo una sal aleatoria, ya que de lo contrario un atacante podría simplemente verificar dos veces al mismo usuario y concluir que el usuario no existe si la sal devuelta es diferente. Por lo tanto, la sal debe ser corregida para el usuario inexistente, es decir, derivada del nombre de usuario.

Y esto también muestra una ruta para simplificar su enfoque : en lugar de generar una sal aleatoria por parte del usuario, almacenarla en el servidor y recuperarla más tarde, se podría simplemente derivar la sal del nombre de usuario en el lado del cliente . Un simple salt=hash(username+domain)sería suficiente para generar una sal que es único por dominio y por lo tanto hacer que tanto salty Hdiferente, incluso si usernamey plain_passwordconseguir reutilizados en diferentes dominios. Y, contrariamente a su enfoque, no se necesita un viaje adicional al servidor para recuperar primero la sal utilizada anteriormente para el usuario.

En resumen: este enfoque simplificado es básicamente enviar en hash(plain_password+username+domain)lugar de la contraseña original. El dominio se agrega para asegurarse de que incluso si usernamey plain_passwordse reutilizan en varios sitios, la contraseña derivada no se reutiliza.

8 mti2935 Jan 02 2021 at 21:33

Este es exactamente el problema que los protocolos como PAKE y SRP pretenden resolver. Con PAKE / SRP, el cliente y el servidor se autentican mutuamente basándose en una contraseña conocida por el cliente (y una derivación de la contraseña conocida por el servidor).

El cliente demuestra al servidor que conoce la contraseña, sin que el cliente envíe la contraseña (o datos equivalentes a la contraseña) al servidor. Al final del proceso, el cliente y el servidor comparten un secreto compartido.

El servidor no almacena la contraseña (o datos equivalentes a la contraseña) y no es susceptible a ataques de diccionario. Un fisgón o un intermediario capaz de ver el texto sin formato enviado a través del cable no puede obtener suficiente información para derivar la contraseña. Esto evita eficazmente los ataques de intermediarios mediante certificados falsos y evita que los sitios de 'phishing' roben las contraseñas de los usuarios.

Para obtener una buena descripción de cómo 1password implementó SRP, consulte https://blog.1password.com/developers-how-we-use-srp-and-you-can-too/

5 mentallurg Jan 02 2021 at 16:00

Además de la respuesta de Steffen Ullrich :

Si durante el inicio de sesión el usuario envía solo el hash, el atacante no necesita saber la contraseña. Basta con robar la base de datos de contraseñas. Luego, durante la solicitud de inicio de sesión, el atacante simplemente enviará el hash desde la base de datos. El servidor no distinguirá si el cliente usó la contraseña y la codificó, o si el cliente (atacante) simplemente envió el hash.

El artículo sobre OPAQUE aborda también este problema: robar la base de datos de contraseñas no ayudará al atacante. Uno necesitaría saber la contraseña de usuario simple.

3 MargaretBloom Jan 03 2021 at 08:43

Si el atacante comprometió su servidor, ellos tienen el control no solo del software que se ejecuta en su servidor, sino también del software que se ejecuta en los clientes.
Independientemente del esquema de autenticación bellamente diseñado que haya diseñado, el atacante puede modificarlo antes de enviarlo al navegador.
Ahora tiene un problema de huevo-gallina: no puede asegurar una contraseña si el atacante controla la forma en que se recopila y envía a su servidor.

Si está preocupado por una violación de datos, su método funcionaría como protección, pero también lo haría un servidor de hash de contraseña adecuado.

Si le preocupan los ataques MITM, TLS los resuelve.
Si le preocupan los ataques MITM sobre TLS, entonces, como me gusta decir, una buena defensa contra ellos siempre comienza con un manual de Krav Maga. Un atacante que tiene suficientes recursos para romper TLS consistentemente no tiene problemas para obtener lo que quiere de cualquier persona que no esté debidamente capacitada y especialmente entrenada (sí, estoy hablando de tortura, chantaje, secuestro y asesinato).

Si le preocupa un actor de amenazas que solo puede leer los datos recibidos por el servidor, entonces su enfoque (corregido por Steffen) funcionará en su contra. Sin embargo, esta es una circunstancia extraña y poco común, que a menudo surge de un servidor muy mal configurado y malas prácticas de desarrollo (es decir, enviar credenciales sobre solicitudes GET y almacenar el registro de acceso públicamente). Es más fácil corregir estos errores que inventar un protocolo solo para lidiar con ellos.

Tenga en cuenta que las dos vulnerabilidades que mencionó (en realidad es solo una, ya que Meltdown es técnicamente una variante de Spectre) eventualmente resultarían en una escalada de privilegios local, lo que le da al atacante el control total de su servidor web. Destacando nuevamente lo raro que es el escenario en el que un atacante tiene acceso de solo lectura a los datos recibidos por su servidor web.

Entonces, la razón por la que muchos sitios importantes no lo usan es porque no agrega prácticamente nada, excepto en circunstancias específicas que probablemente sean configuraciones incorrectas. También vale la pena señalar que si un atacante puede leer qué datos se están transfiriendo en su servidor, usted está en el lado perdedor del juego. Fíjense, es bueno tener protecciones en capas, pero su principal objetivo no es que suceda en primer lugar. Y concentrarse en eso también le evitaría inventar nuevos esquemas.

De todos modos, como mostró Steffen, su esquema propuesto podría funcionar nuevamente con un modelo de ataque tan extraño. Todavía usaría en hash(hash(domain + username) + password)lugar de hash(domain + username + password)simplemente descartar la posibilidad remota de que domain + username + passwordtodavía sea una palabra en un diccionario.
Como mostró mti2935, SRP es una alternativa más interesante. La autenticación basada en certificados (es decir, la que maneja el navegador) es otra opción (que encuentro mejor que hacerlo manualmente en un script JS potencialmente contaminado, como parece haber propuesto en los comentarios).

¿Qué significa "Error fatal: inesperadamente encontrado nulo al desenvolver un valor opcional"?
¿Qué es un depurador y cómo puede ayudarme a diagnosticar problemas?
¿Qué significa el error "No se puede encontrar el símbolo" o "No se puede resolver el símbolo"?
Pasar datos entre controladores de vista
¿Cómo puedo obtener mensajes de error útiles en PHP?
¿Qué es rebanar objetos?
Referencia - ¿Qué significa este símbolo en PHP?
¿Cómo validar una dirección de correo electrónico usando una expresión regular?
¿Cómo puedo evitar el código Java en archivos JSP, usando JSP 2?
¿Cuáles son las reglas sobre el uso de un guión bajo en un identificador de C ++?
¿Por qué no debería #incluir <bits / stdc ++. H>?
¿Son las 'Funciones de flecha' y las 'Funciones' equivalentes / intercambiables?
Aprendizaje de expresiones regulares [cerrado]
¿Cómo puedo leer las entradas como números?
¿Cómo paso variables y datos de PHP a JavaScript?
¿Qué operador de igual (== vs ===) debe usarse en las comparaciones de JavaScript?
Error de sintaxis debido al uso de una palabra reservada como nombre de tabla o columna en MySQL
Usando async / await con un bucle forEach
Cómo centrar horizontalmente un <div>
¿"Pensando en AngularJS" si tengo experiencia en jQuery? [cerrado]
¿Qué es un seguimiento de pila y cómo puedo usarlo para depurar los errores de mi aplicación?
¿Por qué los elementos flexibles no se reducen más allá del tamaño del contenido?
¿Cómo imprimo mi objeto Java sin obtener “SomeType @ 2f92e0f4”?
¿Cómo convierto una API de devolución de llamada existente en promesas?
"Follando en San Francisco"
No más contraseñas: cómo las claves de acceso reemplazarán su contraseña
¿Es el arte alguna vez apolítico?
El pacto suicida
Revista abierta
El alumno se convierte en maestro
los pronombres dan mucho miedo
El asesinato de Jordan Neely y el problema del racismo “patriótico”
Cómo Robert F. Kennedy Jr. está utilizando la estrategia Birther de Trump
La mentira del vaquero
Dos años en diseño: lo bueno, lo malo y lo feo...
Repensar los medios: las cinco verdades de McChesney y el futuro de las comunicaciones
Creación de un entorno de trabajo seguro
Conversaciones peligrosas
Siempre una amenaza: por qué las personas marrones y negras no pueden sentirse cómodas en los Estados Unidos
Financiamiento de la eliminación de carbono en el año fiscal 24
Twitter de televisión en red
Búsqueda de información sobre nombres de dominio
Recopilación de OSINT para la caza de amenazas
¿Qué es el Altruismo Efectivo?
¿La integridad de ser un reactor musical?
3 formas comprobadas de mejorar su habilidad de escritura
Wifey invitó a extraños a unirse a ella en un viaje de negocios
Un fariseo en una misión
domingo s'mores
Hombre pierde su trabajo después de que un perro 'amable' corriera tras corredores y ciclistas del vecindario
Soberanía lingüística en Gales
Consejos para la transición a la ciberseguridad sin conocimientos técnicos.
Cómo salvar el planeta y ganar dinero
BARD VS ChatGPT: Pruebas en problemas analíticos
Por qué algunos freelancers están fingiendo sus vidas
Lo que puede hacer en su temporada de espera (esperando conseguir su primer trabajo en tecnología)
Meditaciones sobre mamá
Ese Archivo de Amenazas: Vol 7 Black Basta
VIDA ILIMITADA
Consejo útil para dueños de perros: por qué es importante dejar que su perro huela mientras camina
El desafío de lectura de Goodreads es tóxico
La erosión lenta: revelando las formas en que las personas se desgastan en sus carreras
La semana de aprendizaje en el trabajo es más importante de lo que piensas
Rastree a cualquiera con solo un número de teléfono | Investigación OSINT
Ver televisión con gatos: un vínculo forjado entre amigos
"La fosa de las Marianas revelada: revelando las aterradoras verdades ocultas del abismo"
El primer libro para niños sobre drogarse
Causas Comunes de Errores de Datos en Nómina Global
La revolución del lugar de trabajo: los mejores expertos hablan sobre el trabajo híbrido y remoto
La persecución de los cristianos: el crimen de odio del que no hablamos
Teorías de la memoria: cómo recordamos las cosas, parte 2
La actuación en solitario de la chica pelirroja
Christopher Nolan una vez se arrepintió de haber leído el 'guion de Pulp Fiction' de Quentin Tarantino
La carrera actoral de Bradley Cooper estaba en peligro cuando trabajó con Julia Roberts en este proyecto
Paul McCartney: Suffering hizo buena una canción del 'Álbum blanco' de The Beatles
Quentin Tarantino compartió una vez que el personaje más interesante que escribió fue en 'Pulp Fiction'
Sam Heughan sabe exactamente lo que tomará del set de 'Outlander': 'Me siento como si fuera Jamie cuando me los pongo'
'El curioso caso de Natalia Grace': ¿Dónde están hoy Nataila, Kristine y Michael Barnett?
Jana Duggar: Todo lo que ha dicho sobre el amor y su ventana de 5 años para encontrar al 'Elegido'
¿Por qué Paul McCartney fue 'cauteloso' sobre decir la verdad sobre los Beatles?
David Bowie casi escribe un musical compuesto por canciones falsas de Bob Dylan
'Sympathy for the Devil' de los Rolling Stones sonaba originalmente como música brasileña
Cómo reaccionó Paul McCartney al título de 'Lucy in the Sky with Diamonds' de The Beatles
Cómo murió John Ritter: una mirada retrospectiva a la muerte del actor de 'Three's Company'
'Boy Meets World': ¿Por qué Mr. Turner desapareció de la serie?
Judy Norton de 'The Waltons' se dio cuenta de que a veces era 'una mocosa' cuando filmaba el programa
Taylor Sheridan acaba de agregar 1 de sus estrellas favoritas de 'Yellowstone' al elenco de 'Lawmen: Bass Reeves'
Mick Jagger dijo que la 'Solicitud de sus majestades satánicas' de los Rolling Stones se inspiró en el ácido, no en los Beatles
Una mirada retrospectiva al papel de Buddy Ebsen en 'The Andy Griffith Show'
Stevie Nicks 'se aferró' a 1 canción de Joni Mitchell cuando sintió que su carrera musical estaba fallando
Dolly Parton ayudó a su abuela 'inválida' cuando ninguno de los otros nietos lo haría: también le hacía una broma
El consejo de Jimmy Page para músicos jóvenes proviene directamente del Manual del orador motivacional
Paul McCartney dijo que 'When I'm Sixty-Four' de The Beatles era una broma
Billy Crystal y Robin Williams improvisaron todo su cameo de 'Friends'
Winona Ryder compartió una vez que todos sus personajes fueron escritos como la 'chica fea' al principio de su carrera
'My Way' de Frank Sinatra no fue tan grande como su 'Old MacDonald'
John Lennon dijo que la canción de este B-52 sonaba 'como la música de Yoko'
Ringo Starr se niega a tocar con una pista de clic y eso lo convierte en un mejor baterista
Donovan comparó 1 de sus canciones con 'Lucy in the Sky with Diamonds' de The Beatles
Rolling Stones: Keith Richards se enojó con 1 grupo de fanáticos de la música que criticaron a la banda
Paul McCartney estaba tan estresado por el único concierto cancelado de los Beatles que vomitó
Paul McCartney imaginó cómo habría reaccionado su madre ante su éxito
Petula Clark dijo que 'Downtown' reveló una canción desesperada
MIA una vez atacó 'Give Peace a Chance' de John Lennon
El mejor momento para visitar el lugar de rodaje de 'La casita de la pradera'
John Lennon dijo 1 línea en 'Revolution' de The Beatles comentó sobre la policía
El gerente de Led Zeppelin, Peter Grant, vio a una banda falsa ganar un Grammy antes que Zep
Prince trabajó en una canción de Stevie Nicks durante una hora y ganó la mitad de las regalías 
Paul McCartney dijo un 'Sargento. La canción de Pepper no se trata de heroína
Brad Pitt y Harrison Ford tuvieron que inventar 'The Devil's Own' sobre la marcha cuando el 'Guión fue descartado'
Gene Simmons dice que los cómics de KISS podrían "recrear la humanidad"
'No duermas en el metro' desconcertó a Petula Clark
La primera canción de los Beatles que fue una de las 'actuaciones más emocionantes' de la banda, según Fab Four Insider
A Nicole Kidman le encantó esta 1 característica atractiva que Michael Keaton y Val Kilmer compartieron como Batman
Paul McCartney dijo que tuvo "suerte" de no haber consumido nunca heroína 
Dolly Parton encontró a Dios en una iglesia abandonada Adolescentes locales utilizados para el sexo
La canción de Paul Simon que parodiaba a la perfección a Bob Dylan 
George Harrison se molestó por no usar la letra de 'Hurdy Gurdy Man' de Donovan
Paul McCartney compartió lo que más le impresionó de John Lennon cuando se conocieron
John Lennon compartió por qué 'The Tonight Show' fue el programa 'más vergonzoso' en el que jamás había estado
La inspiradora y trágica historia de Sophie Scholl, la estudiante que desafió a Hitler
Pripyat: el pueblo fantasma de Ucrania a la sombra de Chernobyl
Pequeño grupo de samaritanos aún practica su antigua religión
¿Por qué EE. UU. no tiene un sistema de presentación de impuestos 'sin devolución'?
¿Quién fue Poncio Pilato, antes y después de la crucifixión de Jesús?
¿Cuál es la diferencia entre una democracia y una república?
Where in the World Are You? Take our GeoGuesser Quiz
Hagfish: esta máquina de limo con forma de anguila es la pesadilla de un depredador
¿Caduca el repelente de insectos?
¿Cuál es la toronja más dulce: blanca, roja o rosada?
5 citas elocuentes y perdurables de Maya Angelou
¿De dónde viene la frase "On the Lam"?
Los láseres arrojan luz sobre por qué necesita cerrar la tapa antes de descargar
¿Podrían las centrales eléctricas virtuales ayudar a estabilizar la red energética de EE. UU.?
Cómo deshacerse de las moscas de drenaje
Desvelando el enigma de Acuario: explorando la esencia única del aire
$ 1,500 hoy compra un pase de Yellowstone para 2172
El tiempo puede no existir, dicen algunos físicos y filósofos
¿Podría el bosón W recién medido romper el modelo estándar?
¿Cuál es el lago más profundo de EE. UU.?
La Bienal de Venecia es la 'Olimpiada del Arte'
Cómo restablecer de fábrica tu iPhone
¿Tal vez puedes ser demasiado delgado? Conoce el rascacielos más delgado del mundo
¿Quién posee los derechos de autor, AI o el artista?
Por qué Sriracha es la salsa picante favorita de todos
Dona tu cabello para ayudar a mantener limpia nuestra agua
La montaña más alta del sistema solar es mucho más alta que el Everest
El Atlas Moth es un Behe-moth, más 5 otros hechos
Elon Musk es dueño de Twitter. ¿Qué podría salir mal?
La mantis orquídea parece una flor, 'pica' como una abeja
Una mirada a las bodas más memorables de la Casa Blanca
¿Debe utilizar Facebook o Google para iniciar sesión en otros sitios?
8 señales para identificar los síntomas de una bomba de combustible defectuosa
¿Comerías casu marzu, el queso ilegal con gusanos?
Cómo convertir binario en decimal (y viceversa)
31 Estados con porte abierto y 10 con porte abierto "permisivo"
Ketanji Brown Jackson confirmado como juez de la Corte Suprema
¿La cocina de inducción es mejor que la de gas o la eléctrica?
Por qué grandes empresas como Tesla y Amazon están dividiendo acciones
Los periquitos son súper sociales y son excelentes mascotas
The Secrets of Airline Travel Quiz
Chief Plenty Coups: líder visionario y defensor de la nación cuervo
¿Qué es el genocidio y Rusia lo está cometiendo en Ucrania?
Martha Mitchell: la mujer que sabía demasiado sobre Watergate
Es posible que los refugiados ucranianos nunca regresen a casa, incluso después de que termine la guerra
¿Es necesario tener una actitud positiva para vencer al cáncer?
¿Cuál es la diferencia entre levaduras secas instantáneas y activas?
Insect Hotels despliega la alfombra de bienvenida para insectos de todo tipo
Eddie Murphy está cubriendo todo en su gira de prensa Beverly Hills Cop: Axel F
Furgoneta de reparto de Amazon se enciende en una ardiente explosión durante el calor del verano en Houston
A Boeing le gustaría que todos dejaran de decir que la prueba Starliner ISS es un fracaso
Estoy rogando a los jugadores de Final Fantasy 14 que simplemente lean el diálogo en Dawntrail
Deadpool y Wolverine finalmente desbloquearán las películas de X-Men de Marvel
Encuesta: Los demócratas siguen a Trump ya sea que reemplacen a Biden con Biden, Biden o Biden
Una aterradora turbulencia envía a un hombre volando hacia un contenedor superior en un video viral
Nuevos errores de código abierto dejan miles de aplicaciones de iOS vulnerables al secuestro
He aquí por qué Eddie Murphy se vio 'obligado' a cambiar su famosa risa
El conductor logra voltear el Tesla Cybertruck, no se necesita conducción autónoma
La razón salvaje por la que el destino del joven matón en el juicio de YSL Rico tomará más tiempo de lo esperado
La aventura de Tiana Bayou rompe 87 años de una extraña princesa de Disney Canon
El popular rapero de YouTube y el famoso mago de TikTok se involucran en una pelea de ladridos virales
La esposa de Zelensky en realidad no compró un Bugatti Tourbillon a pesar de las afirmaciones de la propaganda rusa
MaXXXine es una pulposa historia de Hollywood que parece demasiado mansa
Lionsgate se da un año para cambiar el título de Now You See Me 3 a Now You Three Me
BMW no quiere que los coches quemados en un portacoches salgan a la venta
Hágase un favor y vaya a ver el mejor evento de speedrunning del año
Beverly Hills Cop: revisión de Axel F: Eddie Murphy se lo toma con calma en el sencillo retroceso de Netflix
Cate Blanchett explica por qué está en la película Borderlands
Biden aplaude el fallo de inmunidad de Trump de la Corte Suprema y señala el peligro del poder desenfrenado
Vea cómo Motorweek prueba el Sterling, una versión británica olvidada del Acura Legend
La histeria del encierro impulsada por la motosierra de Cate Blanchett la llevó a Borderlands
My Elden Ring: Invocaciones de jugadores de Shadow Of The Erdtree, clasificadas
Por $ 9,800, ¿los 'empacarías' en este Toyota RAV4 2008 de siete plazas?
Dos niños palestinos están "traumatizados" después de que una mujer supuestamente intentara ahogarlos
Ahora puedes tener el bikini más icónico de la ciencia ficción
Evite que su gato arañe los muebles con estas estrategias respaldadas por la ciencia
La Corte Suprema dictamina que Trump tiene inmunidad por cualquier delito cometido entre las 9 y las 5
Malas noticias para Fani Willis y su caso de interferencia electoral de Trump
Un hombre de Luisiana envió una escalofriante advertencia antes de la ola de crímenes
McLaren simplemente no puede dejar de despedir a los conductores de IndyCar, en realidad le encanta
Resumen del oso: ¿Es Marcus el hombre más amable, suave y sincero de Chicago?
No es bueno: el huracán Beryl es la primera tormenta de categoría 5 registrada en la historia
IA para exhumar voces de celebridades muertas y leer archivos PDF o lo que sea
El Papa Francisco aprueba el primer santo milenario
La sobrina de Luther Vandross tiene algo que decir sobre su desgarradora entrevista posterior al accidente cerebrovascular con Oprah Winfrey
Ridley Scott "no estaba contento" cuando regalaron las secuelas de Alien y Blade Runner
¿Quieres un Corvette pero desearías que pareciera horrible? Chico, ¿tenemos el auto para ti?
A algunos fanáticos de Mortal Kombat les preocupa que el último juego ya esté muerto, pero podría ser más complicado
La Corte Suprema escuchará argumentos sobre si la ley de Texas puede determinar sus hábitos pornográficos
¿Recuerda cuando una aerolínea holandesa puso 440 ardillas en una trituradora gigante?
QEPD Robert Towne, guionista ganador del Oscar por Chinatown
El director de Twister no recibió la advertencia de tornado sobre los tornados
¿Podrá Simone Biles preparar a SZA para los Juegos Olímpicos?
Land Rover Defender Octa es una bestia de 626 CV que llega a las aves rapaces del mundo
Una de las muchas ideas rechazadas de Ryan Reynolds para Deadpool 3 fue un viaje por carretera independiente
Black Panther Show de Marvel será el programa animado más crucial hasta el momento
Profesor de la Universidad de Purdue arrestado por presuntamente traficar metanfetamina y proponer favores sexuales a mujeres
Todo sobre la relación de Zoë Kravitz con sus padres Lenny Kravitz y Lisa Bonet
Cronología de la relación de Suzanne Somers y Alan Hamel
¿Quién es el marido de Lisa Vanderpump? Todo sobre Ken Todd
Cronología de la relación de Maggie Gyllenhaal y Peter Sarsgaard
La enfermera Lucy Letby declarada culpable de asesinar a 7 bebés en un hospital británico
Tom Girardi asiste a la audiencia para determinar su competencia para ser juzgado por cargos de fraude
Matthew McConaughey revela que un adivino le dijo que protagonizara 'Cómo perder a un chico en 10 días'
Los compradores están de acuerdo en que esta barredora de pisos Black + Decker es 'mucho más rápida' que una escoba tradicional y está en oferta
Danielle Moné Truitt de 'Law & Order' cree que los fanáticos fueron 'engañados; Por Stabler y Benson Kiss Tease
¿Quién es la esposa de Jason Kennedy? Todo sobre Lauren Scruggs Kennedy
Lizzo obtuvo la marca comercial para '100% ESA perra' en reversión después de que se rechazó la solicitud
Susan Lucci recuerda con lágrimas en los ojos a su difunto esposo y admite que aún no está lista para comenzar a salir con nadie
Gwyneth Paltrow revela el vestido de noche que guardó de su relación con Brad Pitt 
Kirstie Alley's Estate enumera la casa de Florida de $ 6 millones de la difunta estrella que le compró a Lisa Marie Presley
Los compradores de Amazon dicen que duermen 'como un bebé mimado' gracias a estas fundas de almohada de seda que cuestan tan solo $ 10
Whoopi Goldberg muestra a Kit Harington su inodoro inspirado en 'Juego de tronos': 'Un trono de hierro real'
El historial de citas de Drake: de Rihanna a Jennifer Lopez
La hija de Kevin Jonas, Alena, parece toda una adulta en la foto de cumpleaños: '9 años no se siente real'
Mujer encontrada viva y 'jadeando por aire' en bolsa para cadáveres en funeraria de Iowa
Chloe Cherry de 'Euphoria' enfrenta cargos de robo por supuestamente robar una blusa de $ 28
Chica desaparecida, de 17 años, probablemente murió congelada después de conducir a una zanja en una zona rural de Wisconsin: funcionarios
Hay más de 2500 estilos para clima frío escondidos en esta sección de venta secreta en Nordstrom Rack, desde $6
TJ Watt quiere que Tom Brady y su hermano JJ sean incluidos juntos en el Salón de la Fama de la NFL
Se busca al corredor de los Bengals Joe Mixon por orden de arresto emitida por presuntamente apuntar con un arma de fuego a una mujer
La familia de Yara Shahidi: todo sobre los padres y hermanos de la actriz
Chelsea Houska de 'Teen Mom' comparte una emotiva reacción a la renovación de la temporada 2 de HGTV Show: 'Significa mucho'
Yasmin Vossoughian de MSNBC dice que el médico descartó sus dolores en el pecho como reflujo y luego comenzó su 'pesadilla'
Eric y Jessie James Decker siempre están 'besuqueándose el uno al otro', y a los niños no les gusta
¿Quién es la esposa de Vince Vaughn? Todo sobre Kyla Weber
Bob Barker, presentador de 'The Price Is Right' desde hace mucho tiempo, muere a los 99 años: 'El MC más grande del mundo'
Charly Reynolds revela reciente cirugía de cuerdas vocales: 'Tenía problemas para cantar'
Melissa Gorga no está segura de si resolverá la disputa con Teresa Giudice: '¿Qué tan tóxico puedes dejar que algo se vuelva?'
Rescate de animales advierte 'nunca teñir un pájaro' después de que se encuentra una paloma rosa 'luchando' deambulando por la ciudad de Nueva York
Margaret Josephs defiende la decisión 'devastadora' de Melissa y Joe Gorga de saltarse la boda de Teresa Giudice
Patinaje artístico de EE. UU. 'frustrado' por falta de decisión final en evento por equipos, pide una decisión justa
Mujer que murió hace 37 años después de ser encontrada inconsciente en una autopista de Georgia identificada como madre desaparecida de 4
Muni Long dice que aún no ha 'procesado' ganando 3 nominaciones al Grammy: 'Todo va tan rápido'
Dwayne Johnson dice que su madre está "bien" después de un accidente automovilístico nocturno, "continuará siendo evaluada"
Marvel está publicando una memoria ficticia de Scott Lang de 'Ant-Man and the Wasp: Quantumania'
Jimmy Buffett, cantante de 'Margaritaville', muere a los 76 años
La atleta olímpica Jasmine Camacho-Quinn celebra que su hermano Robert Quinn se dirija al Super Bowl
La cantante de 'Flashdance' Irene Cara murió de hipertensión y colesterol alto: informe
Paul McCartney sobre ser 'romántico' con su esposa Nancy Shevell: 'Exagero por completo el día de San Valentín'
Los 4 hijos de Jeff Bezos: todo lo que hay que saber
Se cree que los cuerpos pertenecen a raperos desaparecidos desde que se encontró un concierto cancelado: 'No se merecían esto'
Heather Rae y Tarek El Moussa dan la bienvenida a su bebé: 'Nuestros corazones están muy felices'
Molly Ringwald celebra su 22.° aniversario con su esposo Panio Gianopoulos: 'La mejor decisión que he tomado'
¿Qué medicamentos pueden cambiar de hombre a mujer sin cirugía?
¿La pubertad ocurre en etapas? ¿Puede detenerse y luego comenzar de nuevo?
¿Es 18 una buena edad para comenzar la transición a MTF?
¿Sigo siendo transgénero (FTM) si solo comencé a mostrar signos cuando llegué a la pubertad?
¿Por qué nunca he visto a una persona transgénero de mujer a hombre?
¿Cuáles son los pros y los contras de la pubertad?
¿Cómo vivo la vida al máximo cuando tengo 19 años?
¿Cómo obtengo la TRH sin decir que quiero la TRH?
Tengo 19 hoy. ¿Qué es lo más importante que debo aprender?
Tengo 19 años y soy hijo único. Me deprimo y me preocupa que les pase algo a mis padres porque son todo lo que tengo. No tengo amigos y no he podido hacer ninguno con la pandemia. Tengo miedo de estar solo, ¿qué puedo hacer para ayudarme?
¿Es una buena idea comenzar la TRH a los 18 años (transgénero)?
Transgénero: ¿Cuál fue la parte más difícil de su transición de hombre a mujer?
Durante la transición de género de hombre a mujer, ¿cómo se siente crecer los senos?
Voy a cumplir 16 mañana. ¿Qué consejo específico le puedes dar a un chico de 16 años?
¿Cuál es la mejor manera de hacer una transición natural de hombre a mujer?
¿Todo el mundo pasa por la pubertad?
¿Está bien que tenga 13 años pero que siga siendo un niño de corazón?
Soy un niño de 13 años deprimido y quiero ver a un médico al respecto, pero tengo miedo de hacerlo y de que mis padres lo consideren solo mis hormonas y demás. ¿Qué tengo que hacer?
Estoy en transición de mujer a hombre. ¿Cuál debería ser mi nuevo nombre?
¿Qué debería pasar si nunca llegas a la pubertad?
Tengo 30 años de edad. ¿Qué puedo hacer ahora que cambiará mi vida para siempre?
¿Cómo puedo cambiar mi vida a los 17?
Tengo 14 años, ¿qué consejo le gustaría darme que me sea útil para el resto de mi vida?
¿Qué cambios ocurrirán si comienza la TRH a los 13?
Cumplo 16 y cumplo 17 el mes que viene. ¿Cómo hago para conseguir un terapeuta si mi mamá cree que no lo necesito?
¿Qué es lo más importante que debe tener en cuenta un adolescente de 14 años?
¿Cómo detengo la pubertad sin bloqueadores de la pubertad?
Soy una chica de 14 años que se aburre fácilmente de sus hobbies. ¿Cómo encuentro mi pasión y talento?
¿Cuál es la mejor edad para comenzar la transición de mujer a hombre?
Tengo 17 años y planeo hacer TRH cuando me gradúe este año a los 18 años. Hasta entonces, ¿qué podía hacer para sentirme más mujer?
¿Qué es lo más útil que puedo hacer cuando tenga 14 años?
En su opinión, ¿cuál es la transición de género más difícil, de mujer a hombre (FtM) o de hombre a mujer (MtF)?
¿Vale la pena la cirugía de glúteos para una transición de hombre a mujer?
¿Qué puede hacer un niño de 14 años para mejorar o facilitar su vida?
Tengo 23 años. ¿Qué puedo hacer ahora que cambiará mi vida para siempre?
Tengo 13 años, transgénero (ftm) y he estado viendo a un terapeuta durante algunos meses. ¿Cómo puedo decirle que soy transgénero y pedirle que me aconseje que se declare?
¿Puedes comenzar con las hormonas MTF HRT a los 13?
Tengo 19 años. ¿Todavía estoy pasando por la pubertad?
Soy estudiante universitaria de 21 años. ¿Qué puedo hacer ahora que cambiará mi vida para siempre?
¿Cuáles son los efectos negativos de pasar por la pubertad (salud mental, etc.)?
Tengo 17 años, ¿qué debo hacer para obtener más conocimiento?
Acabo de cumplir 17 años, ¿qué hago ahora para garantizarme la mejor vida?
Si quiero informarme para iniciar un tratamiento de cambio de género, ¿a qué tipo de médico debo acudir?
¿Cómo hago una cita con el médico sin que mis padres y ellos sepan el motivo por el que voy? Tengo 15.
Como un niño de 13 años, ¿cómo puedo ahorrar y almacenar dinero sin que mis padres lo sepan?
¿La espironolactona es mala para la TRH?
¿Cuáles son las habilidades necesarias para la vida que puedo dominar en este verano de 3 meses? Tengo 17 años de edad.
¿Cómo empiezo mi transición de hombre a mujer? Siempre he sido una niña por dentro. ¿Que necesito hacer?
¿Qué es una NullPointerException y cómo la soluciono?
Cómo hacer un gran ejemplo reproducible de R
RegEx coincide con las etiquetas abiertas, excepto las etiquetas autocontenidas XHTML
¿Lanzo el resultado de malloc?
¿Cómo acceder al "this" correcto dentro de una devolución de llamada?
Referencia - ¿Qué significa esta expresión regular?
Cómo evitar el uso de Seleccionar en Excel VBA
La función de correo PHP no completa el envío de correo electrónico
¿Por qué mi variable no se modifica después de modificarla dentro de una función? - Referencia de código asincrónico
¿Por qué las plantillas solo se pueden implementar en el archivo de encabezado?
mysqli_fetch_assoc () espera errores de parámetro / llamada a una función miembro bind_param (). ¿Cómo obtener el error real de mysql y solucionarlo?
Cómo hacer buenos ejemplos de pandas reproducibles
Cómo usar ThreeTenABP en un proyecto de Android
Desafortunadamente, MyApp se ha detenido. ¿Como puedo resolver esto?
Pedirle al usuario una entrada hasta que dé una respuesta válida
Lista de cambios de listas reflejados inesperadamente en sublistas
El "menor asombro" y el argumento predeterminado mutable
¿Cuál es el antipatrón de construcción de promesa explícita y cómo puedo evitarlo?
El uso de múltiples JFrames: ¿buena o mala práctica? [cerrado]
¿Cómo pivotar un marco de datos?
Estrategias de localización oficial para el controlador web
¿Cómo escribo un micro-benchmark correcto en Java?
Pandas Fusionando 101
¿Cómo extraigo datos de JSON con PHP?
ja/answers
es/answers
de/answers
fr/answers
th/answers
pt/answers
ru/answers
vi/answers
it/answers
ko/answers
tr/answers
id/answers
pl/answers
hi/answers
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved