Alternatives pour envoyer un mot de passe en clair lors de la connexion

Jan 02 2021

Remarque: j'ai déjà lu Est-il possible d'envoyer un mot de passe en texte brut via HTTPS? et la sécurité https - le mot de passe doit-il être haché côté serveur ou côté client? , mais ici il s'agit d'une méthode de remplacement spécifique (voir ci-dessous).

Après avoir lu un article sur une nouvelle méthode d'authentification sur le blog Cloudflare , j'ai regardé les POSTrequêtes qui sont envoyées lors de l'authentification avec "Developer Tools> Network". De nombreux sites Web populaires (Reddit, HN, etc.) envoient toujours le mot de passe en texte clair dans la POSTdemande ( sécurisée par SSL) (voir capture d'écran ci-dessous).

Cette méthode de connexion est-elle toujours la norme de l'industrie?

L'alternative suivante est-elle plus sécurisée que l'envoi d'un mot de passe en clair via HTTPS?

  • signup: le client génère un aléatoire salt, et envoie le tuple (username, salt, hash(plain_password + salt))via une POSTrequête. Ensuite, le mot de passe en clair n'atteint jamais le serveur.

  • connexions suivantes: le serveur doit renvoyer saltà tout client qui tente de se connecter avec un donné username, afin que le client puisse hacher avec le même sel. Cela signifie donc que le serveur divulgue saltà quiconque tente de se connecter avec un nom d'utilisateur donné.

  • avantage: le serveur stocke un mot de passe salé + haché (ce qui est standard) mais aussi le serveur n'a jamais, jamais vu le mot de passe en clair, même une fois (donc si le serveur est compromis, le risque est limité)

Remarques:

  • puisque H = hash(plain_password + salt)maintenant se comporte un peu comme un nouveau plaintext(voir la 2ème réponse de Zero Knowledge Password Proof: pourquoi le hachage du mot de passe côté client n'est pas un ZKP? ), alors le serveur peut stocker (username, salt, server_salt, hash(H + server_salt))dans la base de données, au lieu de (username, salt, H).

  • pour atténuer les risques d'attaques de relecture, le serveur peut également envoyer un unique nonce, avec saltpour chaque connexion, qui expire après une tentative de connexion

  • l'objectif principal ici est que le serveur n'ait jamais accès au mot de passe en clair ou à un simple hachage de celui-ci (qui pourrait souvent être inversé avec une seule table arc-en-ciel pour l'ensemble du site). Je suis d'accord avec le risque qu'un attaquant doive calculer une table arc-en-ciel par utilisateur .

  • Exemple d'attaque que je voudrais atténuer: si le serveur a accès à un mot de passe en texte brut et qu'il est compromis (exemple Spectre / Meltdown vuln.), Le mot de passe en clair de l'utilisateur (éventuellement réutilisé sur d'autres sites Web) pourrait être volé, avant d'être salé -hashed et enregistré dans la base de données.

Réponses

14 SteffenUllrich Jan 02 2021 at 14:38

Je ne vois pas en quoi votre proposition est meilleure que les approches de hachage côté client existantes, mais je la trouve plus complexe à mettre en œuvre que d'autres. Malheureusement, vous ne décrivez pas un risque spécifique auquel vous essayez d'accéder, je suppose donc simplement les menaces typiques couramment observées.

Attaquant Man in the Middle

Dans ce cas, il est supposé qu'un homme au milieu a accès au trafic, par exemple parce qu'il a compromis une interception TLS de trafic de confiance dans un pare-feu d'entreprise ou a mis la main sur une autorité de certification de confiance comme dans le cas de superfish .

Dans ce scénario, l'attaquant a accès à Hla même chose qu'auparavant avec plain_password. Puisque Htout ce qui est nécessaire pour l'authentification, l'attaquant réussit et votre approche n'ajoute aucune protection supplémentaire ici .

Masquage des mots de passe faibles et réutilisation des mots de passe

Un argument courant pour le hachage côté client est de ne pas exposer un mot de passe faible ou réutilisé au serveur, mais plutôt de s'authentifier avec un mot de passe dérivé complexe. Votre approche le fait avec le hachage plain_passwordavec certains utilisateurs générés de manière aléatoire salt, puis envoyez Het saltau serveur lors de la configuration du mot de passe.

Bien que cela fonctionne, chaque authentification nécessite maintenant une étape supplémentaire : d'abord, il doit récupérer le sel précédemment utilisé pour l'utilisateur auprès de l'utilisateur, puis il peut l'utiliser saltpour hacher le fichier plain_password. Cette étape supplémentaire rend l'authentification plus complexe puisqu'elle doit d'abord vérifier l'utilisateur auprès du serveur et plus tard, elle peut vérifier le mot de passe. De plus, une implémentation triviale de ceci ouvre une fuite d'informations puisqu'elle permet de vérifier si l'utilisateur existe en premier lieu (sel retourné ou non) sans autre authentification.

Cette fuite d'informations peut être fermée par le serveur renvoyant du sel, que l'utilisateur existe ou non. Bien sûr, cela ne peut pas être juste un sel aléatoire car sinon un attaquant pourrait simplement vérifier deux fois le même utilisateur et conclure que l'utilisateur n'existe pas si le sel retourné était différent. Donc, le sel doit en fait être fixé pour l'utilisateur non existant, c'est-à-dire dérivé du nom d'utilisateur.

Et cela montre également un chemin pour simplifier votre approche : au lieu de générer un sel aléatoire par l'utilisateur, de le stocker sur le serveur et de le récupérer plus tard, on pourrait simplement dériver le sel du nom d'utilisateur côté client . Un simple salt=hash(username+domain)serait suffisant pour générer un sel qui est unique par domaine et ainsi rendre les deux saltet Hdifférents même si usernameet plain_passwordêtre réutilisé sur des domaines différents. Et contrairement à votre approche, aucun déplacement supplémentaire vers le serveur n'est nécessaire pour récupérer d'abord le sel précédemment utilisé pour l'utilisateur.

En bref: cette approche simplifiée consiste essentiellement à envoyer hash(plain_password+username+domain)au lieu du mot de passe d'origine. Le domaine est ajouté pour s'assurer que même si usernameet plain_passwordsont réutilisés sur plusieurs sites, le mot de passe dérivé n'est pas réutilisé.

8 mti2935 Jan 02 2021 at 21:33

C'est exactement le problème que des protocoles comme PAKE et SRP visent à résoudre. Avec PAKE / SRP, le client et le serveur s'authentifient mutuellement en fonction d'un mot de passe connu du client (et d'une dérivation du mot de passe connu du serveur).

Le client démontre au serveur qu'il connaît le mot de passe, sans que le client envoie le mot de passe (ou les données équivalentes au mot de passe) au serveur. À la fin du processus, le client et le serveur partagent un secret partagé.

Le serveur ne stocke pas le mot de passe (ou les données équivalentes au mot de passe) et n'est pas sensible aux attaques par dictionnaire. Un espion ou un homme du milieu capable de voir le texte en clair envoyé sur le câble ne peut pas obtenir suffisamment d'informations pour obtenir le mot de passe. Cela empêche efficacement les attaques de type «man-in-the-middle» utilisant de faux certificats et empêche les sites de «phishing» de voler les mots de passe des utilisateurs.

Pour une bonne description de la façon dont 1password a implémenté SRP, voir https://blog.1password.com/developers-how-we-use-srp-and-you-can-too/

5 mentallurg Jan 02 2021 at 16:00

En plus de la réponse de Steffen Ullrich :

Si lors de la connexion l'utilisateur envoie uniquement le hachage, l'attaquant n'a pas besoin de connaître le mot de passe. Il suffit de voler la base de données de mots de passe. Ensuite, lors de la demande de connexion, l'attaquant enverra simplement le hachage de la base de données. Le serveur ne distinguera pas si le client a utilisé le mot de passe et l'a haché, ou si le client (attaquant) a simplement envoyé le hachage.

L'article sur OPAQUE aborde également ce problème: voler la base de données de mots de passe n'aidera pas l'attaquant. Il faudrait connaître le mot de passe simple de l'utilisateur.

3 MargaretBloom Jan 03 2021 at 08:43

Si l'attaquant a compromis votre serveur, il contrôle non seulement le logiciel exécuté sur votre serveur, mais également le logiciel exécuté sur les clients.
Quel que soit le schéma d'authentification magnifiquement conçu que vous avez conçu, l'attaquant peut le modifier avant qu'il ne soit envoyé au navigateur.
Vous avez maintenant un problème œuf-poulet: vous ne pouvez pas sécuriser un mot de passe si l'attaquant contrôle la façon dont il est collecté et envoyé à votre serveur.

Si vous vous inquiétez d'une violation de données, votre méthode fonctionnerait comme une protection, tout comme un serveur de hachage de mot de passe approprié.

Si vous vous inquiétez des attaques MITM, TLS les résout.
Si vous vous inquiétez des attaques MITM sur TLS, alors, comme j'aime à le dire, une bonne défense contre elles commence toujours par un manuel de Krav Maga. Un attaquant qui a suffisamment de ressources pour briser le TLS de manière cohérente n'a aucun problème à obtenir ce qu'il veut de toute personne non correctement formée et spécialement formée (oui, je parle de torture, de chantage, d'enlèvement et de meurtre).

Si vous vous inquiétez d'un acteur de la menace qui ne peut lire que les données reçues par le serveur, votre approche (telle que corrigée par Steffen) fonctionnera contre lui. Cependant, il s'agit d'une circonstance étrange et rare, souvent due à un serveur grossièrement mal configuré et à de mauvaises pratiques de développement (c'est-à-dire l'envoi d'informations d'identification sur les requêtes GET et le stockage public du journal d'accès). Il est plus facile de corriger ces erreurs que d'inventer un protocole juste pour y remédier.

Notez que les deux vulnérabilités que vous avez mentionnées (en fait, c'est juste une, car Meltdown est techniquement une variante de Spectre) entraîneraient éventuellement une élévation de privilèges locaux, donnant à l'attaquant le contrôle total de votre serveur Web. Soulignons à nouveau à quel point le scénario où un attaquant a un accès en lecture seule aux données reçues par votre serveur Web est rare.

Donc, la raison pour laquelle de nombreux grands sites ne l'utilisent pas, c'est parce qu'il n'ajoute à peu près rien, mais dans des circonstances spécifiques qui sont très probablement des erreurs de configuration. Il est également intéressant de noter que si un attaquant peut lire quelles données transitent sur votre serveur, vous êtes loin du côté perdant du jeu. Remarquez-moi, c'est bien d'avoir des protections en couches, mais votre objectif principal n'est pas que cela se produise en premier lieu. Et vous concentrer sur cela vous éviterait également d'inventer de nouveaux schémas.

Quoi qu'il en soit, comme l'a montré Steffen, votre schéma proposé pourrait fonctionner à nouveau avec un modèle d'attaque aussi étrange. J'utiliserais toujours hash(hash(domain + username) + password)plutôt que de hash(domain + username + password)simplement statuer sur la possibilité distante qui domain + username + passwordest encore un mot dans un dictionnaire.
Comme l'a montré mti2935, SRP est une alternative plus intéressante. L'authentification basée sur les certificats (c'est-à-dire celle gérée par le navigateur) est une autre option (que je trouve meilleure que de la faire manuellement dans un script JS potentiellement corrompu, comme vous semblez l'avoir proposé dans les commentaires).

Comment extraire des données de JSON avec PHP?
Que signifie "Erreur fatale: néant inopinément trouvé lors du déballage d'une valeur facultative"?
Qu'est-ce qu'un débogueur et comment peut-il m'aider à diagnostiquer les problèmes?
Que signifie une erreur «Symbole introuvable» ou «Symbole impossible à résoudre»?
Pourquoi ces constructions utilisent-elles un comportement non défini avant et après l'incrémentation?
Comment puis-je obtenir des messages d'erreur utiles en PHP?
Qu'est-ce que le tranchage d'objet?
Référence - Que signifie ce symbole en PHP?
Comment valider une adresse email à l'aide d'une expression régulière?
Quelles sont les règles relatives à l'utilisation d'un trait de soulignement dans un identificateur C ++?
Pourquoi ne devrais-je pas #include <bits / stdc ++. H>?
Les «fonctions fléchées» et les «fonctions» sont-elles équivalentes / interchangeables?
Apprentissage d'expressions régulières [fermé]
Comment passer des variables et des données de PHP à JavaScript?
Quel opérateur égal (== vs ===) doit être utilisé dans les comparaisons JavaScript?
Erreur de syntaxe due à l'utilisation d'un mot réservé comme nom de table ou de colonne dans MySQL
Utiliser async / await avec une boucle forEach
Comment centrer horizontalement une <div>
Qu'est-ce qu'une trace de pile et comment puis-je l'utiliser pour déboguer mes erreurs d'application?
Pourquoi les éléments flexibles ne réduisent-ils pas la taille du contenu?
Comment imprimer mon objet Java sans obtenir «SomeType @ 2f92e0f4»?
Comment convertir une API de rappel existante en promesses?
Pourquoi la fonction gets est-elle si dangereuse qu'elle ne devrait pas être utilisée?
Qu'est-ce qu'une exception IndexOutOfRangeException / ArgumentOutOfRangeException et comment la corriger?
Regarder la télé avec des chats : un lien forgé entre amis
Cette archive de menace: Vol 7 Black Basta
Journal ouvert
L'érosion lente : dévoiler les façons dont les gens perdent leur carrière
"La fosse des Mariannes dévoilée : dévoiler les terrifiantes vérités cachées de l'abîme"
« Baiser à San Francisco »
Toujours une menace : pourquoi les personnes brunes et noires ne peuvent pas être à l'aise aux États-Unis
Ce que vous pouvez faire pendant votre saison d'attente (attendre de décrocher votre premier emploi dans la technologie)
Le pacte suicidaire
Conversations dangereuses
Un homme perd son emploi après que son chien court après les joggeurs et les cyclistes du quartier
Avez-vous tous ressenti la diversité autour de vous... ?
L'étudiant devient l'enseignant
Théories de la mémoire : comment nous nous souvenons des choses – Partie 2
les pronoms font super peur
L'art est-il toujours apolitique ?
Qu'est-ce qui rend un podcast influent ?
Learning at Work Week compte plus que vous ne le pensez
La performance solo de la fille aux cheveux roux
La révolution du lieu de travail : les meilleurs experts discutent du travail hybride et à distance
Suivre n'importe qui avec juste un numéro de téléphone | Enquête OSINT
Méditations sur maman
Wifey a invité des inconnus à se liguer contre elle lors d'un voyage d'affaires
Causes courantes d'erreurs de données dans la paie mondiale
3 façons éprouvées d'améliorer vos compétences en écriture
Pourquoi certains freelances simulent leur vie
Recherche d'informations sur les noms de domaine
Comment Robert F. Kennedy Jr. utilise la stratégie Birther de Trump
La persécution des chrétiens : le crime de haine dont nous ne parlons pas
S'mores du dimanche
BARD VS ChatGPT : Tests sur les problèmes d'analyse
Plus de mots de passe - comment les clés d'accès remplaceront votre mot de passe
Financement de l'élimination du carbone au cours de l'exercice 24
Le premier livre d'un enfant sur la défonce
Le défi de lecture Goodreads est toxique
Le meurtre de Jordan Neely et le problème du racisme « patriotique »
Créer un environnement de travail sûr
Conseil utile pour les propriétaires de chiens : pourquoi il est important de laisser votre chien renifler en promenade
Qu'est-ce que l'Altruisme Efficace ?
Le mensonge du cow-boy
Un pharisien en mission
Réseau TV Twitter
Rassembler OSINT pour la chasse aux menaces
Comment sauver la planète et gagner de l'argent
Souveraineté linguistique au Pays de Galles
Conseils pour passer à la cybersécurité sans formation technique.
Deux ans en design - Le bon, le mauvais et le laid…
VIE SANS LIMITE
Rolling Stones : Keith Richards s'est fait énerver par 1 groupe de fans de musique qui ont critiqué le groupe
Gene Simmons dit que les bandes dessinées KISS pourraient potentiellement "recréer l'humanité"
Comment Paul McCartney a réagi au titre "Lucy in the Sky with Diamonds" des Beatles
Comment John Ritter est mort: retour sur la mort de l'acteur de "Three's Company"
Pourquoi Paul McCartney était «gardé» de dire la vérité sur les Beatles
Jana Duggar : Tout ce qu'elle a dit sur l'amour et sa fenêtre de 5 ans pour trouver le « bon »
Paul McCartney a dit que "Quand j'ai soixante-quatre ans" des Beatles était une blague
"L'étrange histoire de Natalia Grace" : où sont Nataila, Kristine et Michael Barnett aujourd'hui ?
John Lennon a dit 1 ligne dans "Revolution" des Beatles a commenté la police
Billy Crystal et Robin Williams ont publié l'intégralité de leur camée "amis"
"Sympathy for the Devil" des Rolling Stones sonnait à l'origine comme de la musique brésilienne
"My Way" de Frank Sinatra n'était pas aussi gros que son "Old MacDonald"
Les conseils de Jimmy Page aux jeunes musiciens sont directement tirés du manuel du conférencier motivateur
Comment Melissa Gilbert a sauvé un oiseau en le piégeant sous sa chemise de nuit
"Ne dormez pas dans le métro" déconcerté Petula Clark
La première chanson des Beatles qui était l'une des " performances les plus excitantes " du groupe, selon un initié de Fab Four
Dolly Parton a trouvé Dieu dans une église abandonnée Des adolescents locaux utilisés pour le sexe
John Lennon a expliqué pourquoi "The Tonight Show" était l'émission "la plus embarrassante" à laquelle il ait jamais assisté
Winona Ryder a partagé une fois que tous ses personnages avaient été écrits comme la "fille laide" plus tôt dans sa carrière
Paul McCartney était tellement stressé par le seul spectacle annulé des Beatles qu'il a vomi
Donovan a comparé une de ses chansons à "Lucy in the Sky with Diamonds" des Beatles
Stevie Nicks s'est accrochée à 1 chanson de Joni Mitchell quand elle a senti que sa carrière musicale échouait
Le manager de Led Zeppelin, Peter Grant, a vu un faux groupe gagner un Grammy avant que Zep ne le fasse
David Bowie a presque écrit une comédie musicale composée de fausses chansons de Bob Dylan
George Harrison s'est énervé, ses paroles pour "Hurdy Gurdy Man" de Donovan n'ont pas été utilisées
Paul McCartney a imaginé comment sa mère aurait réagi à son succès
Taylor Sheridan vient d'ajouter 1 de ses stars préférées de "Yellowstone" au casting de "Lawmen: Bass Reeves"
Le meilleur moment pour visiter le lieu de tournage de "La petite maison dans la prairie"
« Boy Meets World » : pourquoi M. Turner a-t-il disparu de la série ?
Retour sur le rôle de Buddy Ebsen dans "The Andy Griffith Show"
Prince a travaillé sur une chanson de Stevie Nicks pendant une heure et a gagné la moitié des royalties 
MIA a une fois attaqué "Give Peace a Chance" de John Lennon
Dolly Parton a aidé sa grand-mère "invalide" alors qu'aucun des autres petits-enfants ne le ferait - elle lui faisait aussi des blagues
Mick Jagger a déclaré que la "demande de leurs majestés sataniques" des Rolling Stones était inspirée de l'acide, pas des Beatles
Brad Pitt et Harrison Ford ont dû inventer "The Devil's Own" à la volée lorsque le "script a été jeté"
John Lennon a dit que la chanson de ce B-52 ressemblait à la musique de Yoko
Paul McCartney a dit un 'Sgt. Pepper' Song ne parle pas d'héroïne
La carrière d'acteur de Bradley Cooper était en jeu lorsqu'il a travaillé avec Julia Roberts sur ce projet
Christopher Nolan a un jour regretté d'avoir lu "Pulp Fiction Script" de Quentin Tarantino
Petula Clark dit que "Downtown" a révélé une chanson désespérée
Ringo Starr refuse de jouer avec une piste de clic, et cela fait de lui un meilleur batteur
Paul McCartney a dit qu'il était "chanceux" de n'avoir jamais consommé d'héroïne 
Nicole Kidman a adoré cette fonctionnalité attrayante que Michael Keaton et Val Kilmer ont partagée en tant que Batman
La chanson des Beatles, Peter Asher, qualifiée de « la plus grande chanson que j'aie jamais entendue »
Paul McCartney a partagé ce qui l'a le plus impressionné à propos de John Lennon lors de leur première rencontre
Quentin Tarantino a une fois partagé le personnage le plus intéressant qu'il ait jamais écrit dans "Pulp Fiction"
Judy Norton de "The Waltons" a réalisé qu'elle était parfois "une gamine" lors du tournage de la série
Paul McCartney : La souffrance a rendu 1 chanson de l'album blanc des Beatles bonne
Les hôtels à insectes déroulent le tapis de bienvenue pour les insectes de toutes sortes
Quelle est la taille de la personne la plus petite du monde ?
La mante orchidée ressemble à une fleur et « pique » comme une abeille
Pourquoi Sriracha est la sauce piquante préférée de tout le monde
Pourquoi les États-Unis n'ont-ils pas de système de déclaration de revenus "sans retour" ?
Pripyat : la ville fantôme ukrainienne dans l'ombre de Tchernobyl
Mangeriez-vous du Casu Marzu, le fromage illégal avec des asticots ?
Qui était Ponce Pilate, avant et après la crucifixion de Jésus ?
Elon Musk possède Twitter. Qu'est ce qui pourrait aller mal?
Grandes évasions ! 5 animaux sauvages qui se sont évanouis et sont partis en fuite
Comment réinitialiser votre iPhone en usine
Martha Mitchell : la femme qui en savait trop sur le Watergate
Peut-être que vous pouvez être trop mince ? Découvrez le gratte-ciel le plus maigre du monde
L'intrication quantique est le phénomène le plus étrange de la physique, mais qu'est-ce que c'est ?
Le boson W nouvellement mesuré pourrait-il briser le modèle standard ?
La Biennale de Venise est l'"Olympique de l'art"
Quelle est la différence entre les levures sèches instantanées et actives ?
Devriez-vous utiliser Facebook ou Google pour vous connecter à d'autres sites ?
Faites don de vos cheveux pour aider à garder notre eau propre
La plus haute montagne du système solaire est bien plus haute que l'Everest
20 idées de costumes de groupe pour Halloween
5 citations éloquentes et durables de Maya Angelou
Qu'est-ce qu'une pilule empoisonnée et Twitter tiendra-t-il Elon Musk à distance ?
Carte de Tarot Cinq de Coupes : Explorer la perte, le regret et la guérison
Un regard sur les mariages les plus mémorables de la Maison Blanche
Avez-vous besoin d'avoir une attitude positive pour vaincre le cancer ?
Les Philippines organisent la plus longue fête de Noël au monde
Chief Plenty Coups : leader visionnaire et défenseur de la nation Crow
Un petit groupe de samaritains pratiquent encore leur ancienne religion
Qu'est-ce qu'un génocide et la Russie le commet-elle en Ukraine ?
Quel est le pamplemousse le plus sucré : blanc, rouge ou rose ?
Ketanji Brown Jackson confirmé comme juge à la Cour suprême
Dévoiler l'énigme du Verseau : explorer l'essence unique de l'air
D'où vient l'expression "On the Lam" ?
Myxine : cette machine à slime ressemblant à une anguille est le cauchemar d'un prédateur
Ne jetez pas ces tubes en carton ! 10 façons de les réutiliser
Le temps n'existe peut-être pas, disent certains physiciens et philosophes
Les perruches sont super sociales et font d'excellents animaux de compagnie
Where in the World Are You? Take our GeoGuesser Quiz
Les centrales électriques virtuelles pourraient-elles aider à stabiliser le réseau énergétique américain ?
Qui a dit ça? Le quiz des doubleurs
How to Get Rid of Drain Flies
Le serpent Sidewinder se déplace dans le sable meuble grâce à des écailles spéciales
Qu'est-ce qu'une boîte noire IA ? Un informaticien explique
Qu’est-ce que l’humidité et comment l’humidité affecte-t-elle la température ?
1 500 $ aujourd'hui achète un Yellowstone Pass pour 2172
The Secrets of Airline Travel Quiz
Les réfugiés ukrainiens pourraient ne jamais rentrer chez eux, même après la fin de la guerre
Le directeur de Twister n'a pas reçu l'avertissement de tornade concernant Twisters
Land Rover Defender Octa est une bête de 626 chevaux destinée aux rapaces du monde
RIP Robert Towne, scénariste oscarisé de Chinatown
Vous pouvez désormais posséder le bikini le plus emblématique de la science-fiction
Cate Blanchett explique pourquoi elle est dans le film Borderlands
Voulez-vous une Corvette mais souhaitez-vous qu’elle ait l’air horrible ? Garçon, avons-nous la voiture pour toi
Le Flic de Beverly Hills : critique d'Axel F : Eddie Murphy y va doucement dans le retour en arrière simple de Netflix
La nièce de Luther Vandross a quelque chose à dire sur son entretien déchirant avec Oprah Winfrey après un AVC
Vous vous souvenez de l'époque où une compagnie aérienne néerlandaise a mis 440 écureuils dans un broyeur géant ?
L'aventure Bayou de Tiana brise 87 ans d'un étrange canon de princesse Disney
Mauvaise nouvelle pour Fani Willis et son affaire d’ingérence électorale Trump
MaXXXine est un conte hollywoodien pulpeux qui semble trop apprivoisé
Deadpool et Wolverine débloqueront enfin les films X-Men de Marvel
Le rappeur YouTube populaire et le célèbre assistant TikTok se lancent dans un match d'aboiements viraux
Le conducteur parvient à retourner le Cybertruck Tesla, aucune conduite autonome n'est nécessaire
Le spectacle Black Panther de Marvel sera le spectacle d'animation le plus crucial à ce jour
La Xbox subit une panne majeure [Mise à jour : elle fonctionne à nouveau]
Le pape François approuve le premier saint millénaire
L'IA pour exhumer les voix de célébrités mortes pour vous lire des PDF ou autre
BMW ne veut pas que les voitures brûlées dans un porte-voitures soient mises en vente
Des turbulences effrayantes envoient un homme voler dans un compartiment supérieur dans une vidéo virale
La Cour suprême entendra les arguments sur la question de savoir si la loi du Texas peut déterminer vos habitudes pornographiques
McLaren ne peut tout simplement pas arrêter de licencier les pilotes d'IndyCar, elle adore ça en fait
L'une des nombreuses idées rejetées de Ryan Reynolds pour Deadpool 3 était un road trip indépendant
Un homme de Louisiane a envoyé un avertissement effrayant avant une vague de crimes
Une camionnette de livraison Amazon s'enflamme dans une explosion ardente pendant la chaleur estivale de Houston
Eddie Murphy couvre tout lors de sa tournée de presse Le Flic de Beverly Hills : Axel F
Voici pourquoi Eddie Murphy a été « forcé » de changer son célèbre rire
Sondage : les démocrates suivent Trump s'ils remplacent Biden par Biden, Biden ou Biden
L'hystérie de confinement alimentée par la tronçonneuse de Cate Blanchett l'a conduite à Borderlands
De nouveaux bugs Open Source rendent des milliers d’applications iOS vulnérables au piratage
Faites-vous une faveur et allez voir le meilleur événement de speedrunning de l'année
The Wild Reason Le sort de Young Thug dans le procès YSL Rico prendra plus de temps que prévu
Ridley Scott "n'était pas content" lorsque les suites d'Alien et Blade Runner ont été dévoilées
Certains fans de Mortal Kombat craignent que le dernier jeu soit déjà mort, mais cela pourrait être plus compliqué
L'épouse de Zelensky n'a pas réellement acheté de Tourbillon Bugatti malgré les affirmations de la propagande russe
Je supplie les joueurs de Final Fantasy 14 de simplement lire le dialogue dans Dawntrail
Lionsgate se donne un an pour changer le titre de Now You See Me 3 en Now You Three Me
Regardez Motorweek tester la Sterling, une version britannique oubliée de la légende Acura
Deux enfants palestiniens sont « traumatisés » après qu'une femme aurait tenté de les noyer
My Elden Ring : Invocations de joueurs Shadow Of The Erdtree, classées
Empêchez votre chat de gratter les meubles grâce à ces stratégies fondées sur la science
J'ai passé un week-end avec le jeu à distance et le cloud gaming et c'était plutôt génial
Biden applaudit à la décision de la Cour suprême sur l'immunité Trump et souligne le danger d'un pouvoir incontrôlé
Simone Biles peut-elle préparer SZA pour les Jeux olympiques ?
Récapitulatif de The Bear : Marcus est-il l'homme le plus gentil, le plus doux et le plus sincère de Chicago ?
Pas bon : l'ouragan Beryl est la première tempête de catégorie 5 de l'histoire enregistrée
À 9 800 $, voudriez-vous les emballer dans ce Toyota RAV4 2008 à sept places ?
Une femme décédée il y a 37 ans après avoir été retrouvée inconsciente sur l'autoroute Ga identifiée comme étant la mère disparue de 4 enfants
Tom Girardi assiste à l'audience pour déterminer sa compétence à subir son procès pour fraude
Une femme retrouvée vivante et à bout de souffle dans un sac mortuaire à la maison funéraire de l'Iowa
L'olympienne Jasmine Camacho-Quinn célèbre que son frère Robert Quinn se dirige vers le Super Bowl
Yasmin Vossoughian de MSNBC dit que le médecin a rejeté ses douleurs thoraciques en tant que reflux, puis son "cauchemar" a commencé
Gal Gadot et Jamie Dornan apportent l'action d'espionnage dans la bande-annonce à enjeux élevés de "Heart of Stone"
Chloe Cherry de 'Euphoria' fait face à une accusation de vol pour avoir prétendument volé un chemisier de 28 $
Susan Lucci se souvient en larmes de son défunt mari alors qu"elle admet qu"elle n"est pas encore prête à commencer à sortir ensemble
Paul McCartney sur le fait d'être « romantique » avec sa femme Nancy Shevell : « J'ai complètement exagéré la Saint-Valentin »
Charly Reynolds révèle une récente opération des cordes vocales : "J'avais du mal à chanter"
Un professeur de l'Université Purdue arrêté pour avoir prétendument vendu de la méthamphétamine et proposé des femmes pour des faveurs sexuelles
Les acheteurs conviennent que cette balayeuse de sol Black + Decker est «beaucoup plus rapide» qu'un balai traditionnel, et elle est en solde
Eric et Jessie James Decker "se bécotent toujours l'un sur l'autre" - et les enfants n'aiment pas ça
Chronologie de la relation entre Suzanne Somers et Alan Hamel
Molly Ringwald célèbre son 22e anniversaire avec son mari Panio Gianopoulos : "La meilleure décision que j'ai jamais prise"
L"histoire des rencontres de Drake : de Rihanna à Jennifer Lopez
Tout sur la relation de Zoë Kravitz avec ses parents Lenny Kravitz et Lisa Bonet
Le demi offensif des Bengals Joe Mixon recherché en vertu d'un mandat d'arrêt délivré pour avoir prétendument pointé une arme à feu sur une femme
Chelsea Houska de 'Teen Mom' partage une réaction en larmes au renouvellement de la saison 2 de l'émission HGTV: 'signifie tellement'
L'infirmière Lucy Letby reconnue coupable du meurtre de 7 nourrissons dans un hôpital britannique
Melissa Gorga ne sait pas si elle résoudra la querelle avec Teresa Giudice: "À quel point pouvez-vous laisser quelque chose devenir toxique?"
Gwyneth Paltrow révèle la robe de soirée qu'elle a gardée de sa relation avec Brad Pitt 
La succession de Kirstie Alley répertorie la maison de 6 millions de dollars de Late Star en Floride qu'elle a achetée à Lisa Marie Presley
La fille de Kevin Jonas, Alena, a l'air d'avoir grandi sur la photo d'anniversaire : "9 ans, ça ne semble pas réel"
Qui est la femme de Craig Melvin ? Tout sur la journaliste sportive Lindsay Czarniak
Chronologie de la relation entre Maggie Gyllenhaal et Peter Sarsgaard
Le patinage artistique américain "frustré" par l'absence de décision finale dans l'épreuve par équipe, demande une décision équitable
Marvel publie actuellement un mémoire fictif de Scott Lang de "Ant-Man and the Wasp: Quantumania"
Margaret Josephs défend le choix « dévastateur » de Melissa et Joe Gorga de sauter le mariage de Teresa Giudice
Dwayne Johnson dit que sa mère va « bien » après un accident de voiture tard dans la nuit, « continuera à être évaluée »
Danielle Moné Truitt de "Law & Order" pense que les fans ont été "trompés" ; Par Stabler et Benson Kiss Tease
Les acheteurs d'Amazon disent qu'ils dorment «comme un bébé choyé» grâce à ces taies d'oreiller en soie qui coûtent aussi peu que 10 $
Qui est la femme de Vince Vaughn ? Tout sur Kyla Weber
TJ Watt veut voir Tom Brady et son frère JJ être intronisés ensemble au Temple de la renommée de la NFL
Bob Barker, animateur de longue date de « The Price Is Right », est mort à 99 ans : « Le plus grand MC du monde »
Whoopi Goldberg montre à Kit Harington ses toilettes inspirées de "Game of Thrones" : "Un véritable trône de fer"
Heather Rae et Tarek El Moussa ont eu leur petit garçon : "Nos coeurs sont si heureux"
L'histoire de rencontres d'Ava Gardner : retour sur les mariages et les romances de l'icône hollywoodienne
Il y a plus de 2 500 styles pour temps froid cachés dans cette section de vente secrète chez Nordstrom Rack – À partir de 6 $
Animal Rescue avertit de «ne jamais teindre un oiseau» après la découverte d'un pigeon rose «en difficulté» errant à New York
Lizzo a obtenu la marque de commerce pour '100% THIS Bitch' en inversion après le rejet de la demande
Une fille disparue de 17 ans est probablement morte de froid après avoir conduit dans un fossé dans le Wisconsin rural: des responsables
Qui est la femme de John Cleese ? Tout sur Jennifer Wade
Des corps soupçonnés d'appartenir à des rappeurs portés disparus depuis la découverte d'un concert annulé : "Ils ne méritaient pas ça"
Qui est le mari de Lisa Vanderpump ? Tout sur Ken Todd
Matthew McConaughey révèle qu'une diseuse de bonne aventure lui a dit de jouer dans "Comment perdre un mec en 10 jours"
Irene Cara, chanteuse de Flashdance, est décédée d'hypertension et d'hypercholestérolémie
Jimmy Buffett, chanteur de "Margaritaville", est mort à 76 ans
Je vais avoir 16 ans demain. Quels conseils spécifiques pouvez-vous donner à un garçon de 16 ans ?
Quels changements se produiront si vous prenez un THS à 13 ans ?
Comment prendre rendez-vous chez le médecin sans mes parents et sans qu'ils sachent pourquoi j'y vais ? J'ai 15 ans.
J'ai 19 ans aujourd'hui. Quelle est la chose la plus importante que je devrais apprendre ?
Suis-je toujours transgenre (FTM) si je n'ai commencé à montrer des signes qu'à la puberté ?
Est-ce que 18 ans est un bon âge pour commencer la transition vers MTF ?
Quels sont les effets négatifs du passage à la puberté (santé mentale, etc.) ?
Je suis une adolescente de 14 ans qui s'ennuie facilement de ses hobbies. Comment puis-je trouver ma passion et mon talent?
J'ai 19 ans et un enfant unique. Je déprime et j'ai peur que quelque chose arrive à mes parents parce qu'ils sont tout ce que j'ai. Je n'ai pas d'amis et je n'ai pas pu m'en faire avec la pandémie. J'ai peur d'être seul, que puis-je faire pour m'aider ?
Est-ce que tout le monde passe par la puberté ?
Si je veux savoir comment commencer un traitement de changement de genre, quel type de médecin dois-je consulter ?
Pendant la transition de genre de l'homme à la femme, qu'est-ce que ça fait de faire pousser des seins ?
J'ai 30 ans. Que puis-je faire maintenant qui changera ma vie pour toujours ?
Pourquoi n'ai-je jamais vu une personne transgenre de sexe féminin à masculin ?
La puberté se déroule-t-elle par étapes ? Peut-il s'arrêter puis recommencer ?
Je suis un étudiant de 21 ans. Que puis-je faire maintenant qui changera ma vie pour toujours ?
J'aurai 17 ans dans un mois et j'ai pensé que je ne me sens pas vraiment différent d'avoir 11 ans, est-ce normal ? Vais-je vraiment changer en vieillissant ?
Selon vous, quelle est la transition de genre la plus difficile, de femme à homme (FtM) ou d'homme à femme (MtF) ?
Comment amorcer ma transition d'homme à femme ? J'ai toujours été une fille à l'intérieur. Qu'est-ce que je dois faire?
Quels sont les avantages et les inconvénients de la puberté ?
La spironolactone est-elle mauvaise pour le THS ?
Quelle est la chose la plus importante qu'un adolescent de 14 ans devrait garder à l'esprit ?
Comment obtenir un THS sans dire que je veux un THS ?
La chirurgie du bas en vaut-elle la peine pour une transition homme-femme?
J'ai 16 ans et 17 ans le mois prochain. Comment puis-je trouver un thérapeute si ma mère pense que je n'en ai pas besoin ?
Quels médicaments peuvent transformer un homme en femme sans chirurgie ?
Pouvez-vous commencer les hormones MTF HRT à 13 ans ?
Transgenre : Quelle a été la partie la plus difficile de votre transition d'homme à femme ?
À 13 ans, comment puis-je économiser et stocker de l'argent sans que mes parents le sachent ?
Quel est le meilleur âge pour commencer la transition femme-homme ?
Que devrait-il se passer si vous ne traversez jamais la puberté ?
Je passe du féminin au masculin. Quel devrait être mon nouveau nom ?
Comment arrêter la puberté sans bloqueurs de puberté ?
Est-ce une bonne idée de commencer le THS à 18 ans (transgenre) ?
J'ai 14 ans, quel conseil voudriez-vous me donner qui me sera utile pour le reste de ma vie ?
Le THS est-il recommandé pour les adolescents transgenres ?
J'ai 17 ans et j'ai l'intention d'aller en HRT lorsque j'obtiendrai mon diplôme cette année à l'âge de 18 ans. Jusque-là, que pouvais-je faire pour me sentir plus féminine ?
Quelle est la chose la plus utile que je puisse faire à 14 ans ?
Comment vivre pleinement sa vie à 19 ans ?
J'ai 23 ans. Que puis-je faire maintenant qui changera ma vie pour toujours ?
Comment changer ma vie à 17 ans ?
J'ai 19 ans. Suis-je encore en pleine puberté ?
J'ai 13 ans, transgenre (ftm) et je vois un thérapeute depuis quelques mois maintenant. Comment puis-je lui dire que je suis transgenre et lui demander de faire son coming out ?
Que peut faire un jeune de 14 ans pour améliorer/simplifier sa vie ?
J'ai 17 ans, que dois-je faire pour acquérir plus de connaissances ?
Je viens d'avoir 17 ans, que dois-je faire maintenant pour me garantir la meilleure vie ?
Est-ce que c'est normal que j'ai 13 ans mais que je reste un enfant dans l'âme ?
Quelles sont les compétences de vie nécessaires que je peux maîtriser en cet été de 3 mois ? J'ai 17 ans.
Qu'est-ce qu'une NullPointerException et comment y remédier?
Comment créer un excellent exemple R reproductible
RegEx correspond aux balises ouvertes à l'exception des balises autonomes XHTML
Les mathématiques en virgule flottante sont-elles cassées?
Dois-je lancer le résultat de malloc?
Comment accéder au "this" correct dans un rappel?
Référence - Que signifie cette expression régulière?
Comment éviter d'utiliser Select dans Excel VBA
La fonction de messagerie PHP ne termine pas l'envoi de l'e-mail
Pourquoi ma variable est-elle inchangée après l'avoir modifiée à l'intérieur d'une fonction? - Référence de code asynchrone
Pourquoi «using namespace std;» considéré comme une mauvaise pratique?
mysqli_fetch_assoc () attend des erreurs de paramètre / appel à une fonction membre bind_param (). Comment obtenir l'erreur mysql réelle et la corriger?
Le scanner ignore nextLine () après avoir utilisé next () ou nextFoo ()?
Comment utiliser ThreeTenABP dans un projet Android
Malheureusement MyApp s'est arrêté. Comment puis-je résoudre ça?
Comment fonctionne le mot-clé «this»?
Demander à l'utilisateur une entrée jusqu'à ce qu'il donne une réponse valide
«Least Astonishment» et l'argument Mutable par défaut
Qu'est-ce que l'anti-modèle de construction de promesse explicite et comment l'éviter?
L'utilisation de plusieurs JFrames: bonne ou mauvaise pratique? [fermé]
Comment faire pivoter un dataframe?
Stratégies de localisation officielles pour le webdriver
Comment écrire un micro-benchmark correct en Java?
Pandas fusionnant 101
ja/answers
es/answers
de/answers
fr/answers
th/answers
pt/answers
ru/answers
vi/answers
it/answers
ko/answers
tr/answers
id/answers
pl/answers
hi/answers
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2025 | All Rights Reserved