Analyse d'invulnérabilité Koa.JS alias Pourquoi l'industrie de la sécurité ne comprend pas les logiciels ?

Nov 26 2022
Ma frustration est au plus haut car cela vient de se reproduire. Si vous avez lu mon analyse précédente intitulée CVE-2022–29622 : Analyse de la (in)vulnérabilité, vous vous doutez peut-être à quoi je fais référence.

Ma frustration est au plus haut car cela vient de se reproduire. Si vous avez lu mon analyse précédente intitulée CVE-2022–29622 : (In)vulnerability Analysis , vous vous doutez peut-être à quoi je fais référence. Même histoire, autre victime. Cependant, les dates sont importantes dans ce cas. Ma précédente analyse d'invulnérabilité date de 2022, aujourd'hui je vais analyser un autre problème de 2018.

Vous pouvez demander : "Pourquoi devez-vous faire face à quelque chose de 2018 ?" Excellente question ! Parce que j'ai récemment activé Dependency Track pour extraire les informations de vulnérabilité de l'index OSS de Sonatype.

Koa.JS "Vulnérabilité" de 2018 (faux positif)

Aujourd'hui, alors que je parcourais SCA pour voir si nous avions des composants vulnérables, et si c'était le cas, prioriser les travaux de remédiation. Je suis tombé sur quelque chose de très surprenant. Koa.JS a une vulnérabilité critique ?! Après mon habituel "#FFS, toute ma semaine a besoin d'être réorganisée.", je me disais : "Respirez profondément et regardez de quoi il s'agit. Tu te souviens de ce qui s'est passé la dernière fois..."

Suivi des dépendances affichant les informations de vulnérabilité

Et c'est ce que j'ai fait. Tout d'abord, le titre indique clairement que le "problème" a été trouvé en 2018. Maintenant, pourquoi aurais-je une vulnérabilité dans une bibliothèque qui est toujours maintenue et que je continue à mettre à niveau vers la dernière version ? À ce stade, la partie investigatrice de mon cerveau s'est déclenchée.

Que sait-on/voit-on à ce stade ?

  1. Il y aurait eu une vulnérabilité dans Koa en 2018 avec une gravité critique attribuée
  2. Selon Sonatype OSS Index et Dependency Track, le problème m'affecte en 2022 lors de l'exécution de la dernière version de Koa
  • Quelles versions de la bibliothèque Koa.JS ont été affectées par la "vulnérabilité"
  • Si la "vulnérabilité" est présente dans le dernier Koa.JS

Analyse des problèmes

Voyons ce qu'est/était la "vulnérabilité". Permettez-moi de lier rapidement le problème connexe # 1250 de GitHub ici. Je vais simplement copier-coller l'exemple (PoC ?) ci-dessous afin que nous puissions l'analyser.

const Koa = require('koa');
const app = new Koa();

app.use(async ctx => {
  ctx.redirect("javascript:alert(1);")
});

app.listen(3000);

"En tant que développeur d'une application Web ou d'un service Web, je peux rediriger votre navigateur où je veux si vous visitez mon site Web."

C'est ce que signifie le code ci-dessus. Dans le PoC ci-dessus, aucun vecteur d'attaque n'est présenté pour qu'un acteur malveillant puisse exploiter quoi que ce soit.

Si vous vouliez fournir un « PoC » approprié pour cette non-vulnérabilité (oui, je viens de le dire), cela ressemblerait à ceci :

const Koa = require('koa');
const app = new Koa();
// Try: http://localhost:3000/?vector=javascript:alert(1);
app.use(async ctx => {
  ctx.redirect(ctx.request.query.vector);
});

app.listen(3000);

En parlant d'une vulnérabilité XSS, si tout ce que j'ai entré comme valeur du vectorparamètre était affiché dans un contexte HTML de manière non sécurisée, l'application que j'ai implémentée serait vulnérable au Cross Site Scripting. (Plus à ce sujet plus tard)

Zoom sur la façon dont Sonatype a présenté cela et l'analysant un peu plus loin :

"Open Redirect menant à Cross-Site Scripting" ? Tout d'abord, il n'y avait pas de redirection ouverte. Il n'est ouvert que si vous l'ouvrez et la différence entre les deux PoC (l'original et le mien) le montre clairement. Dans le premier, il n'y avait pas de vecteur d'attaque, donc il n'y avait pas de redirection ouverte. Mon PoC avait un vecteur d'attaque, pas de filtrage, donc il y avait une redirection ouverte. Mais, comme vous pouvez le voir, qu'il y ait eu ou non une redirection ouverte dépendait de moi, le développeur et non de Koa.JS. Encore mieux, qu'il y ait eu ou non une redirection dépendait aussi de moi. La question de savoir si j'incluais l'entrée fournie par l'utilisateur en tant que/dans l'URL de redirection de manière non sécurisée dépendait également de moi. De quelle vulnérabilité Koa.JS parlons-nous alors ? Techniquement, il n'y avait pas de vulnérabilité et quelqu'un lui attribuait toujours une gravité critique. Pas vraiment professionnel.

Quoi qu'il en soit, «exploitons» ladite «vulnérabilité» mise en œuvre par le bon PoC. Veuillez noter que j'ai dû changer le port de service de 3000 à 4444 car j'avais déjà quelque chose qui écoutait sur le port 3000.

Nous pouvons voir que l' Locationen-tête de réponse a la valeur javascript:alert(1). Ensuite, le navigateur redirige vers…

Hein, je suis en sécurité ! Aucune boîte d'alerte n'apparaissait. Oui, je pourrais entrer https://google.comcomme valeur du vectorparamètre de requête et être redirigé vers Google, donc mon application (PoC) est vulnérable à la redirection ouverte, mais pas à cause de Koa, mais parce que j'ai transmis des données utilisateur non filtrées à ctx.redirect. Ce n'est pas quelque chose qui m'inquiète, je ne ferais jamais ça.

Une chose importante à noter dans les commentaires sur les problèmes sur GitHub est la suivante :

Le problème vient du fait que Koa imprime un lien hypertexte HTML dans le corps de la réponse de redirection et cela peut déclencher une attaque de script intersite.

Ah, ça a un peu plus de sens ! Voyons si c'est toujours le cas.

Non, ce n'est plus le cas. Il n'y a pas de corps de réponse. Je suppose que je peux conclure que cette "vulnérabilité" ne m'affecte pas. Je peux simplement aller le marquer comme faux positif dans Dependency Track.

Analyse de contexte

Je propose "l'analyse de contexte" à adopter par tous les professionnels de la sécurité et à effectuer avant de signaler les "problèmes". Laissez ceci être un autre exemple et vous montrer comment c'est fait. (Je vous recommande tout de même de lire CVE-2022–29622 : Analyse de la (in)vulnérabilité, car cela explique beaucoup mieux l'importance du contexte.)

  1. Koa.JS prêt à l'emploi ne vous redirige nulle part. Par conséquent, il y a et il n'y avait pas de "redirection ouverte" comme indiqué par Sonatype OSS Index.
  2. Sur la base du "PoC" fourni sur GitHub, il y avait une opportunité pour un développeur de faire quelque chose de stupide qui pourrait conduire à XSS. Mais, voir #1 ci-dessus. Koa.JS n'a fait aucune redirection par lui-même. Voir #2 ci-dessous.
  3. Un développeur doit avoir implémenté son application de manière non sécurisée pour que la "vulnérabilité" signalée soit présente. Cela signifie à peu près que Koa.JS même s'il aurait pu faire mieux, vous ne pouvez pas l'appeler vulnérable. C'est contextuellement inapproprié. La vulnérabilité en question ne peut être présente que dans une application Web implémentée de manière non sécurisée .

Permettez-moi de vous donner un exemple de la meilleure façon de gérer des situations comme celle-ci. Regardez ce problème que j'ai soumis à Swagger Parser et comment il a été communiqué. Analysons le rapport de problème :

  1. Le titre indique « Comportement de résolution non sécurisé ». Je ne parle pas de LFI (Local File Inclusion) dans le titre. En effet, bien qu'il existe un potentiel d'inclusion de fichiers locaux SI JE MESS CHOSES, c'est vraiment à moi en tant que développeur de savoir avec quoi je travaille et comment je travaille avec. Le comportement par défaut était (peut-être est-il toujours) non sécurisé. Mais, la bibliothèque toute seule, sans mon implication ne fera rien.
  2. Ensuite, j'indique clairement de quelle version de la bibliothèque je parle. Je rends le contexte encore plus clair en énumérant les conditions dans lesquelles le comportement par défaut non sécurisé de la bibliothèque affecterait une application. Cela montre assez clairement que la bibliothèque elle-même n'est pas vulnérable, mais elle a un comportement non sécurisé qui peut être amélioré pour aider les développeurs.
  3. Maintenant que le contexte est défini, je fournis un PoC fonctionnel, un extrait de code vulnérable (que j'ai écrit en tant que PoC, il ne fait pas partie de Swagger Parser !) et le résultat réel de l'exploitation d'une application/service vulnérable qui utilise le bibliothèque de manière non sécurisée.
  4. J'ai fait quelques recherches et j'ai découvert qu'en tant que développeur, je pouvais réellement configurer la bibliothèque de manière à atténuer le problème. (dans une certaine mesure) j'ai partagé cela avec les développeurs. Si rien d'autre, ils peuvent au moins mettre à jour la documentation pour sensibiliser.
  5. J'ai fourni un contexte supplémentaire, une analyse et un exemple de la façon dont les choses pourraient être améliorées.

Conclusion

Tout d'abord, Sonatype devrait faire mieux avec l'index OSS et s'assurer que les informations de version sont disponibles pour chaque vulnérabilité dans la base de données. C'est le strict minimum. (Points bonus pour la suppression complète de cette entrée spécifique de la base de données.)

Je soupçonne que Dependency Track souffre de FOMO, par conséquent, il est prêt à signaler les problèmes uniquement en fonction de la correspondance du nom du composant si le numéro de version n'est pas disponible. Je comprends dans une certaine mesure qu'ils ne risqueraient pas de manquer une vulnérabilité critique. Le problème avec ce comportement (faux positifs) est qu'il n'encourage pas l'adoption de l'analyse de la composition logicielle. Cela effrayera les développeurs comme les faux positifs de l'analyse de code statique. Contreproductif.

Contexte! Le contexte sanglant, les gens! Je propose:

  1. « Analyse de contexte » à adopter par tous les professionnels de la sécurité et à effectuer avant de signaler des « problèmes »
  2. Distinguer les « comportements précaires » de la « vulnérabilité »
  3. Comprendre la différence entre une bibliothèque de logiciels et une application/un service
Qu'est-ce qu'une liste liée, de toute façon? [Partie 1]
Qu'est-ce qu'une liste liée, de toute façon? [Partie 1]
Alors, parlez-moi des listes liées
Alors, parlez-moi des listes liées
Quand tout le reste échoue, soyez créatif
Quand tout le reste échoue, soyez créatif
Mon vaisseau au bout du monde
Mon vaisseau au bout du monde
Lasagnes à la citrouille et au chou frisé
Lasagnes à la citrouille et au chou frisé
N'ayant pas peur d'échouer, Walker Buehler réussit à nouveau calmement dans NLCS Game 6
N'ayant pas peur d'échouer, Walker Buehler réussit à nouveau calmement dans NLCS Game 6
Eh bien avec Kell: ami, nettoyez votre intestin!
Eh bien avec Kell: ami, nettoyez votre intestin!
Mon voisin
Mon voisin
Brillant
Brillant
La créativité comme boussole
La créativité comme boussole
L'effet de la peur et du chagrin sur la créativité
L'effet de la peur et du chagrin sur la créativité
L'effet de la solitude sur la créativité
L'effet de la solitude sur la créativité
Mais que faire si je n'ai nulle part où retourner?
Mais que faire si je n'ai nulle part où retourner?
Le chagrin invisible
Le chagrin invisible
J'ai enfin arrêté de fumer
J'ai enfin arrêté de fumer
Je ne me sens plus coupable de ne pas être productif en lock-out
Je ne me sens plus coupable de ne pas être productif en lock-out
L'Amérique a toujours été un désert brutal et solitaire
L'Amérique a toujours été un désert brutal et solitaire
Un bref examen de deux scènes de 'Borat 2'
Un bref examen de deux scènes de 'Borat 2'
Votre enfant transgenre a besoin d'un thérapeute - et vous aussi
Votre enfant transgenre a besoin d'un thérapeute - et vous aussi
Leçons de vie avec la permission de mon fils transgenre
Leçons de vie avec la permission de mon fils transgenre
Je refuse de laisser l'inquiétude avoir tout le pouvoir
Je refuse de laisser l'inquiétude avoir tout le pouvoir
Masques faciaux irritants, mode et craintes de COVID-19
Masques faciaux irritants, mode et craintes de COVID-19
Samsung Galaxy Note 20 Ultra: bon téléphone, mauvais moment
Samsung Galaxy Note 20 Ultra: bon téléphone, mauvais moment
Que se passe-t-il après avoir remporté un Oscar?
Que se passe-t-il après avoir remporté un Oscar?
Judy Norton de "The Waltons" a réalisé qu'elle était parfois "une gamine" lors du tournage de la série
Christopher Nolan a un jour regretté d'avoir lu "Pulp Fiction Script" de Quentin Tarantino
"L'étrange histoire de Natalia Grace" : où sont Nataila, Kristine et Michael Barnett aujourd'hui ?
Winona Ryder a partagé une fois que tous ses personnages avaient été écrits comme la "fille laide" plus tôt dans sa carrière
George Harrison s'est énervé, ses paroles pour "Hurdy Gurdy Man" de Donovan n'ont pas été utilisées
Retour sur le rôle de Buddy Ebsen dans "The Andy Griffith Show"
Paul McCartney a dit que "Quand j'ai soixante-quatre ans" des Beatles était une blague
Prince a travaillé sur une chanson de Stevie Nicks pendant une heure et a gagné la moitié des royalties 
La chanson des Beatles, Peter Asher, qualifiée de « la plus grande chanson que j'aie jamais entendue »
La chanson de Paul Simon qui parodiait parfaitement Bob Dylan 
Paul McCartney était tellement stressé par le seul spectacle annulé des Beatles qu'il a vomi
Le meilleur moment pour visiter le lieu de tournage de "La petite maison dans la prairie"
Comment Melissa Gilbert a sauvé un oiseau en le piégeant sous sa chemise de nuit
John Lennon a expliqué pourquoi "The Tonight Show" était l'émission "la plus embarrassante" à laquelle il ait jamais assisté
Ringo Starr refuse de jouer avec une piste de clic, et cela fait de lui un meilleur batteur
La première chanson des Beatles qui était l'une des " performances les plus excitantes " du groupe, selon un initié de Fab Four
Comment Paul McCartney a réagi au titre "Lucy in the Sky with Diamonds" des Beatles
Billy Crystal et Robin Williams ont publié l'intégralité de leur camée "amis"
John Lennon a dit que la chanson de ce B-52 ressemblait à la musique de Yoko
"Ne dormez pas dans le métro" déconcerté Petula Clark
John Lennon a dit 1 ligne dans "Revolution" des Beatles a commenté la police
Les conseils de Jimmy Page aux jeunes musiciens sont directement tirés du manuel du conférencier motivateur
Comment John Ritter est mort: retour sur la mort de l'acteur de "Three's Company"
Petula Clark dit que "Downtown" a révélé une chanson désespérée
La carrière d'acteur de Bradley Cooper était en jeu lorsqu'il a travaillé avec Julia Roberts sur ce projet
Paul McCartney a dit qu'il était "chanceux" de n'avoir jamais consommé d'héroïne 
"Sympathy for the Devil" des Rolling Stones sonnait à l'origine comme de la musique brésilienne
Dolly Parton a aidé sa grand-mère "invalide" alors qu'aucun des autres petits-enfants ne le ferait - elle lui faisait aussi des blagues
David Bowie a presque écrit une comédie musicale composée de fausses chansons de Bob Dylan
Jana Duggar : Tout ce qu'elle a dit sur l'amour et sa fenêtre de 5 ans pour trouver le « bon »
Paul McCartney : La souffrance a rendu 1 chanson de l'album blanc des Beatles bonne
"My Way" de Frank Sinatra n'était pas aussi gros que son "Old MacDonald"
Pourquoi Paul McCartney était «gardé» de dire la vérité sur les Beatles
Dolly Parton a trouvé Dieu dans une église abandonnée Des adolescents locaux utilisés pour le sexe
Nicole Kidman a adoré cette fonctionnalité attrayante que Michael Keaton et Val Kilmer ont partagée en tant que Batman
Quentin Tarantino a une fois partagé le personnage le plus intéressant qu'il ait jamais écrit dans "Pulp Fiction"
Le manager de Led Zeppelin, Peter Grant, a vu un faux groupe gagner un Grammy avant que Zep ne le fasse
Donovan a comparé une de ses chansons à "Lucy in the Sky with Diamonds" des Beatles
Paul McCartney a partagé ce qui l'a le plus impressionné à propos de John Lennon lors de leur première rencontre
Gene Simmons dit que les bandes dessinées KISS pourraient potentiellement "recréer l'humanité"
« Boy Meets World » : pourquoi M. Turner a-t-il disparu de la série ?
Taylor Sheridan vient d'ajouter 1 de ses stars préférées de "Yellowstone" au casting de "Lawmen: Bass Reeves"
Paul McCartney a dit un 'Sgt. Pepper' Song ne parle pas d'héroïne
Mick Jagger a déclaré que la "demande de leurs majestés sataniques" des Rolling Stones était inspirée de l'acide, pas des Beatles
Brad Pitt et Harrison Ford ont dû inventer "The Devil's Own" à la volée lorsque le "script a été jeté"
MIA a une fois attaqué "Give Peace a Chance" de John Lennon
Paul McCartney a imaginé comment sa mère aurait réagi à son succès
Stevie Nicks s'est accrochée à 1 chanson de Joni Mitchell quand elle a senti que sa carrière musicale échouait
Pourquoi les États-Unis n'ont-ils pas de système de déclaration de revenus "sans retour" ?
Faites don de vos cheveux pour aider à garder notre eau propre
Le boson W nouvellement mesuré pourrait-il briser le modèle standard ?
Les Philippines organisent la plus longue fête de Noël au monde
Myxine : cette machine à slime ressemblant à une anguille est le cauchemar d'un prédateur
Un petit groupe de samaritains pratiquent encore leur ancienne religion
Qu'est-ce qu'un génocide et la Russie le commet-elle en Ukraine ?
La plus haute montagne du système solaire est bien plus haute que l'Everest
5 citations éloquentes et durables de Maya Angelou
Qu'est-ce qu'une pilule empoisonnée et Twitter tiendra-t-il Elon Musk à distance ?
Quelle est la taille de la personne la plus petite du monde ?
Qui était Ponce Pilate, avant et après la crucifixion de Jésus ?
Grandes évasions ! 5 animaux sauvages qui se sont évanouis et sont partis en fuite
Martha Mitchell : la femme qui en savait trop sur le Watergate
Les hôtels à insectes déroulent le tapis de bienvenue pour les insectes de toutes sortes
Quelle est la différence entre une démocratie et une république ?
1 500 $ aujourd'hui achète un Yellowstone Pass pour 2172
L'intrication quantique est le phénomène le plus étrange de la physique, mais qu'est-ce que c'est ?
Le serpent Sidewinder se déplace dans le sable meuble grâce à des écailles spéciales
Elon Musk possède Twitter. Qu'est ce qui pourrait aller mal?
Qu’est-ce que l’humidité et comment l’humidité affecte-t-elle la température ?
Ketanji Brown Jackson confirmé comme juge à la Cour suprême
How to Get Rid of Drain Flies
Quel est le pamplemousse le plus sucré : blanc, rouge ou rose ?
La Biennale de Venise est l'"Olympique de l'art"
Comment réinitialiser votre iPhone en usine
Chief Plenty Coups : leader visionnaire et défenseur de la nation Crow
Qu'est-ce qu'une boîte noire IA ? Un informaticien explique
Devriez-vous utiliser Facebook ou Google pour vous connecter à d'autres sites ?
Peut-être que vous pouvez être trop mince ? Découvrez le gratte-ciel le plus maigre du monde
D'où vient l'expression "On the Lam" ?
20 idées de costumes de groupe pour Halloween
Dévoiler l'énigme du Verseau : explorer l'essence unique de l'air
Pripyat : la ville fantôme ukrainienne dans l'ombre de Tchernobyl
Pourquoi Sriracha est la sauce piquante préférée de tout le monde
Quelle est la différence entre les levures sèches instantanées et actives ?
Qui a dit ça? Le quiz des doubleurs
Where in the World Are You? Take our GeoGuesser Quiz
Les perruches sont super sociales et font d'excellents animaux de compagnie
Un regard sur les mariages les plus mémorables de la Maison Blanche
La cuisson par induction est-elle meilleure que le gaz ou l'électricité ?
La mante orchidée ressemble à une fleur et « pique » comme une abeille
Carte de Tarot Cinq de Coupes : Explorer la perte, le regret et la guérison
Les centrales électriques virtuelles pourraient-elles aider à stabiliser le réseau énergétique américain ?
The Secrets of Airline Travel Quiz
Avez-vous besoin d'avoir une attitude positive pour vaincre le cancer ?
Les réfugiés ukrainiens pourraient ne jamais rentrer chez eux, même après la fin de la guerre
Mangeriez-vous du Casu Marzu, le fromage illégal avec des asticots ?
Le Flic de Beverly Hills : critique d'Axel F : Eddie Murphy y va doucement dans le retour en arrière simple de Netflix
Deux enfants palestiniens sont « traumatisés » après qu'une femme aurait tenté de les noyer
Sondage : les démocrates suivent Trump s'ils remplacent Biden par Biden, Biden ou Biden
Le conducteur parvient à retourner le Cybertruck Tesla, aucune conduite autonome n'est nécessaire
Le rappeur YouTube populaire et le célèbre assistant TikTok se lancent dans un match d'aboiements viraux
Simone Biles peut-elle préparer SZA pour les Jeux olympiques ?
Un homme de Louisiane a envoyé un avertissement effrayant avant une vague de crimes
MaXXXine est un conte hollywoodien pulpeux qui semble trop apprivoisé
Deadpool et Wolverine débloqueront enfin les films X-Men de Marvel
Certains fans de Mortal Kombat craignent que le dernier jeu soit déjà mort, mais cela pourrait être plus compliqué
La Cour suprême entendra les arguments sur la question de savoir si la loi du Texas peut déterminer vos habitudes pornographiques
Lionsgate se donne un an pour changer le titre de Now You See Me 3 en Now You Three Me
Empêchez votre chat de gratter les meubles grâce à ces stratégies fondées sur la science
J'ai passé un week-end avec le jeu à distance et le cloud gaming et c'était plutôt génial
Récapitulatif de The Bear : Marcus est-il l'homme le plus gentil, le plus doux et le plus sincère de Chicago ?
Biden applaudit à la décision de la Cour suprême sur l'immunité Trump et souligne le danger d'un pouvoir incontrôlé
Eddie Murphy couvre tout lors de sa tournée de presse Le Flic de Beverly Hills : Axel F
La Cour suprême déclare que Trump bénéficie de l'immunité pour tout crime commis entre 9 et 17 heures
De nouveaux bugs Open Source rendent des milliers d’applications iOS vulnérables au piratage
Boeing aimerait que tout le monde arrête de dire que le test Starliner ISS est un échec
Voulez-vous une Corvette mais souhaitez-vous qu’elle ait l’air horrible ? Garçon, avons-nous la voiture pour toi
Le directeur de Twister n'a pas reçu l'avertissement de tornade concernant Twisters
My Elden Ring : Invocations de joueurs Shadow Of The Erdtree, classées
La nièce de Luther Vandross a quelque chose à dire sur son entretien déchirant avec Oprah Winfrey après un AVC
Des turbulences effrayantes envoient un homme voler dans un compartiment supérieur dans une vidéo virale
Je supplie les joueurs de Final Fantasy 14 de simplement lire le dialogue dans Dawntrail
Une camionnette de livraison Amazon s'enflamme dans une explosion ardente pendant la chaleur estivale de Houston
L'épouse de Zelensky n'a pas réellement acheté de Tourbillon Bugatti malgré les affirmations de la propagande russe
BMW ne veut pas que les voitures brûlées dans un porte-voitures soient mises en vente
L'IA pour exhumer les voix de célébrités mortes pour vous lire des PDF ou autre
L'aventure Bayou de Tiana brise 87 ans d'un étrange canon de princesse Disney
L'une des nombreuses idées rejetées de Ryan Reynolds pour Deadpool 3 était un road trip indépendant
The Wild Reason Le sort de Young Thug dans le procès YSL Rico prendra plus de temps que prévu
Le spectacle Black Panther de Marvel sera le spectacle d'animation le plus crucial à ce jour
L'hystérie de confinement alimentée par la tronçonneuse de Cate Blanchett l'a conduite à Borderlands
Land Rover Defender Octa est une bête de 626 chevaux destinée aux rapaces du monde
Regardez Motorweek tester la Sterling, une version britannique oubliée de la légende Acura
La Xbox subit une panne majeure [Mise à jour : elle fonctionne à nouveau]
Ridley Scott "n'était pas content" lorsque les suites d'Alien et Blade Runner ont été dévoilées
Faites-vous une faveur et allez voir le meilleur événement de speedrunning de l'année
Voici pourquoi Eddie Murphy a été « forcé » de changer son célèbre rire
RIP Robert Towne, scénariste oscarisé de Chinatown
Le pape François approuve le premier saint millénaire
Mauvaise nouvelle pour Fani Willis et son affaire d’ingérence électorale Trump
Cate Blanchett explique pourquoi elle est dans le film Borderlands
Vous vous souvenez de l'époque où une compagnie aérienne néerlandaise a mis 440 écureuils dans un broyeur géant ?
Pas bon : l'ouragan Beryl est la première tempête de catégorie 5 de l'histoire enregistrée
McLaren ne peut tout simplement pas arrêter de licencier les pilotes d'IndyCar, elle adore ça en fait
Tom Girardi assiste à l'audience pour déterminer sa compétence à subir son procès pour fraude
La famille de Yara Shahidi : tout sur les parents et les frères et sœurs de l'actrice
La succession de Kirstie Alley répertorie la maison de 6 millions de dollars de Late Star en Floride qu'elle a achetée à Lisa Marie Presley
Yasmin Vossoughian de MSNBC dit que le médecin a rejeté ses douleurs thoraciques en tant que reflux, puis son "cauchemar" a commencé
Qui est la femme de Vince Vaughn ? Tout sur Kyla Weber
La fille de Kevin Jonas, Alena, a l'air d'avoir grandi sur la photo d'anniversaire : "9 ans, ça ne semble pas réel"
Molly Ringwald célèbre son 22e anniversaire avec son mari Panio Gianopoulos : "La meilleure décision que j'ai jamais prise"
Chloe Cherry de 'Euphoria' fait face à une accusation de vol pour avoir prétendument volé un chemisier de 28 $
L'infirmière Lucy Letby reconnue coupable du meurtre de 7 nourrissons dans un hôpital britannique
Matthew McConaughey révèle qu'une diseuse de bonne aventure lui a dit de jouer dans "Comment perdre un mec en 10 jours"
Une fille disparue de 17 ans est probablement morte de froid après avoir conduit dans un fossé dans le Wisconsin rural: des responsables
Qui est la femme de Craig Melvin ? Tout sur la journaliste sportive Lindsay Czarniak
Un professeur de l'Université Purdue arrêté pour avoir prétendument vendu de la méthamphétamine et proposé des femmes pour des faveurs sexuelles
Une femme retrouvée vivante et à bout de souffle dans un sac mortuaire à la maison funéraire de l'Iowa
Eric et Jessie James Decker "se bécotent toujours l'un sur l'autre" - et les enfants n'aiment pas ça
Muni Long dit qu'elle n'a pas encore "traité" pour gagner 3 Grammy Noms : "Tout va si vite"
Les acheteurs conviennent que cette balayeuse de sol Black + Decker est «beaucoup plus rapide» qu'un balai traditionnel, et elle est en solde
Bob Barker, animateur de longue date de « The Price Is Right », est mort à 99 ans : « Le plus grand MC du monde »
Une femme décédée il y a 37 ans après avoir été retrouvée inconsciente sur l'autoroute Ga identifiée comme étant la mère disparue de 4 enfants
Chelsea Houska de 'Teen Mom' partage une réaction en larmes au renouvellement de la saison 2 de l'émission HGTV: 'signifie tellement'
Susan Lucci se souvient en larmes de son défunt mari alors qu"elle admet qu"elle n"est pas encore prête à commencer à sortir ensemble
Marvel publie actuellement un mémoire fictif de Scott Lang de "Ant-Man and the Wasp: Quantumania"
Whoopi Goldberg montre à Kit Harington ses toilettes inspirées de "Game of Thrones" : "Un véritable trône de fer"
Gwyneth Paltrow révèle la robe de soirée qu'elle a gardée de sa relation avec Brad Pitt 
Chronologie de la relation entre Suzanne Somers et Alan Hamel
Charly Reynolds révèle une récente opération des cordes vocales : "J'avais du mal à chanter"
Tout sur la relation de Zoë Kravitz avec ses parents Lenny Kravitz et Lisa Bonet
Des corps soupçonnés d'appartenir à des rappeurs portés disparus depuis la découverte d'un concert annulé : "Ils ne méritaient pas ça"
Margaret Josephs défend le choix « dévastateur » de Melissa et Joe Gorga de sauter le mariage de Teresa Giudice
Trevor Noah dit que "Break My Soul" de Beyoncé était la "bande originale de ma vie" alors qu'il quittait le "Daily Show"
TJ Watt veut voir Tom Brady et son frère JJ être intronisés ensemble au Temple de la renommée de la NFL
Jimmy Buffett, chanteur de "Margaritaville", est mort à 76 ans
Le patinage artistique américain "frustré" par l'absence de décision finale dans l'épreuve par équipe, demande une décision équitable
L'olympienne Jasmine Camacho-Quinn célèbre que son frère Robert Quinn se dirige vers le Super Bowl
Dwayne Johnson dit que sa mère va « bien » après un accident de voiture tard dans la nuit, « continuera à être évaluée »
Les acheteurs d'Amazon disent qu'ils dorment «comme un bébé choyé» grâce à ces taies d'oreiller en soie qui coûtent aussi peu que 10 $
Le demi offensif des Bengals Joe Mixon recherché en vertu d'un mandat d'arrêt délivré pour avoir prétendument pointé une arme à feu sur une femme
Irene Cara, chanteuse de Flashdance, est décédée d'hypertension et d'hypercholestérolémie
Heather Rae et Tarek El Moussa ont eu leur petit garçon : "Nos coeurs sont si heureux"
Melissa Gorga ne sait pas si elle résoudra la querelle avec Teresa Giudice: "À quel point pouvez-vous laisser quelque chose devenir toxique?"
L"histoire des rencontres de Drake : de Rihanna à Jennifer Lopez
Qui est le mari de Lisa Vanderpump ? Tout sur Ken Todd
Gal Gadot et Jamie Dornan apportent l'action d'espionnage dans la bande-annonce à enjeux élevés de "Heart of Stone"
Lizzo a obtenu la marque de commerce pour '100% THIS Bitch' en inversion après le rejet de la demande
Animal Rescue avertit de «ne jamais teindre un oiseau» après la découverte d'un pigeon rose «en difficulté» errant à New York
Il y a plus de 2 500 styles pour temps froid cachés dans cette section de vente secrète chez Nordstrom Rack – À partir de 6 $
Paul McCartney sur le fait d'être « romantique » avec sa femme Nancy Shevell : « J'ai complètement exagéré la Saint-Valentin »
Le sèche-cheveux léger «très silencieux» qui, selon les acheteurs, leur donne une «finition de salon» ne coûte que 20 $ sur Amazon
Quelle est la chose la plus utile que je puisse faire à 14 ans ?
Pourquoi n'ai-je jamais vu une personne transgenre de sexe féminin à masculin ?
Comment arrêter la puberté sans bloqueurs de puberté ?
J'ai 23 ans. Que puis-je faire maintenant qui changera ma vie pour toujours ?
Suis-je toujours transgenre (FTM) si je n'ai commencé à montrer des signes qu'à la puberté ?
J'ai 19 ans. Suis-je encore en pleine puberté ?
Quels sont les effets négatifs du passage à la puberté (santé mentale, etc.) ?
Est-ce une bonne idée de commencer le THS à 18 ans (transgenre) ?
J'ai 16 ans et 17 ans le mois prochain. Comment puis-je trouver un thérapeute si ma mère pense que je n'en ai pas besoin ?
Si je veux savoir comment commencer un traitement de changement de genre, quel type de médecin dois-je consulter ?
Quels sont les avantages et les inconvénients de la puberté ?
Je suis un enfant dépressif de 13 ans et je veux voir un médecin à ce sujet, mais j'ai peur de le faire et que mes parents le considèrent comme mes hormones et autres. Que dois-je faire?
J'ai 17 ans et j'ai l'intention d'aller en HRT lorsque j'obtiendrai mon diplôme cette année à l'âge de 18 ans. Jusque-là, que pouvais-je faire pour me sentir plus féminine ?
Comment obtenir un THS sans dire que je veux un THS ?
Quels changements se produiront si vous prenez un THS à 13 ans ?
Quel est le meilleur âge pour commencer la transition femme-homme ?
Comment amorcer ma transition d'homme à femme ? J'ai toujours été une fille à l'intérieur. Qu'est-ce que je dois faire?
J'ai 30 ans. Que puis-je faire maintenant qui changera ma vie pour toujours ?
La spironolactone est-elle mauvaise pour le THS ?
Comment prendre rendez-vous chez le médecin sans mes parents et sans qu'ils sachent pourquoi j'y vais ? J'ai 15 ans.
J'ai 13 ans, transgenre (ftm) et je vois un thérapeute depuis quelques mois maintenant. Comment puis-je lui dire que je suis transgenre et lui demander de faire son coming out ?
Que devrait-il se passer si vous ne traversez jamais la puberté ?
Est-ce que tout le monde passe par la puberté ?
Je suis une adolescente de 14 ans qui s'ennuie facilement de ses hobbies. Comment puis-je trouver ma passion et mon talent?
La puberté se déroule-t-elle par étapes ? Peut-il s'arrêter puis recommencer ?
Pendant la transition de genre de l'homme à la femme, qu'est-ce que ça fait de faire pousser des seins ?
Je vais avoir 16 ans demain. Quels conseils spécifiques pouvez-vous donner à un garçon de 16 ans ?
J'ai 19 ans et un enfant unique. Je déprime et j'ai peur que quelque chose arrive à mes parents parce qu'ils sont tout ce que j'ai. Je n'ai pas d'amis et je n'ai pas pu m'en faire avec la pandémie. J'ai peur d'être seul, que puis-je faire pour m'aider ?
Le THS est-il recommandé pour les adolescents transgenres ?
Je viens d'avoir 17 ans, que dois-je faire maintenant pour me garantir la meilleure vie ?
Comment vivre pleinement sa vie à 19 ans ?
J'aurai 17 ans dans un mois et j'ai pensé que je ne me sens pas vraiment différent d'avoir 11 ans, est-ce normal ? Vais-je vraiment changer en vieillissant ?
Est-ce que 18 ans est un bon âge pour commencer la transition vers MTF ?
J'ai 14 ans, quel conseil voudriez-vous me donner qui me sera utile pour le reste de ma vie ?
À 13 ans, comment puis-je économiser et stocker de l'argent sans que mes parents le sachent ?
Quelles sont les compétences de vie nécessaires que je peux maîtriser en cet été de 3 mois ? J'ai 17 ans.
Quels médicaments peuvent transformer un homme en femme sans chirurgie ?
Pouvez-vous commencer les hormones MTF HRT à 13 ans ?
Je passe du féminin au masculin. Quel devrait être mon nouveau nom ?
Je suis un étudiant de 21 ans. Que puis-je faire maintenant qui changera ma vie pour toujours ?
Selon vous, quelle est la transition de genre la plus difficile, de femme à homme (FtM) ou d'homme à femme (MtF) ?
Que peut faire un jeune de 14 ans pour améliorer/simplifier sa vie ?
J'ai 19 ans aujourd'hui. Quelle est la chose la plus importante que je devrais apprendre ?
Comment changer ma vie à 17 ans ?
J'ai 17 ans, que dois-je faire pour acquérir plus de connaissances ?
Est-ce que c'est normal que j'ai 13 ans mais que je reste un enfant dans l'âme ?
Quelle est la chose la plus importante qu'un adolescent de 14 ans devrait garder à l'esprit ?
La chirurgie du bas en vaut-elle la peine pour une transition homme-femme?
«Quarante jours et quarante nuits»
Dois-je ouvrir mon application si j'utilise des données API non modifiées sous licence CC-BY-SA 4.0
Si le marinage détruit la vitamine C, en quoi la choucroute est-elle riche en vitamine C?
Une plongée plus approfondie dans l'incident de sécurité de mai 2019: commentaires sur les articles de blog
Supprimer la bordure intérieure dans type = color
" $\Sigma_1^1$-Peano arithmétique »- est-ce que ça cloue $\mathbb{N}$?
Manière la plus propre d'utiliser BeginTransaction en utilisant try catch
Quelle est la bonne façon de fermer un socket C# dans .NET Core 3.1 ?
Regex_search c++
winforms C # .NET - Comment améliorer les performances de mon code tout en utilisant des boucles (for, foreach, etc…) [fermé]
Quelle est la matrice du logarithme de l'opérateur dérivé ( $\ln D$)? Quel est le rôle de cet opérateur dans différents domaines mathématiques?
Joomla Select à partir du groupement DB AND / OR
MOCs: une question sur l'utilisation de la marque LEGO
proxy nginx vers Tomcat avec SSL
Quels sont les principaux obstacles à la mise en production de RL?
Pourquoi les fruits et légumes marinés ne faisaient-ils pas partie des rations (européennes) à l'ère de la voile?
Y a-t-il une position d'accouplement double forcée?
Récupération de la valeur href d'un champ Lien de l'élément Lien dans scriban [duplicate]
Est-ce choquant de tuer mon personnage gay à la fin de mon livre?
Comment attacher des cristaux à un bâton de chaman sans utiliser d'adhésif?
Demandez l'autorisation [préfixe] [infixe] [suffixe]. Qu'est-ce que [tout]?
java: obtenir le nombre de toutes les clés et valeurs distinctes dans Map <String, Set <String>> [duplicate]
Démontrer qu'une suite $\{a_n\}_n$Défini par $a_1=-\frac14$et $-a_{n+1}=\frac{a_na_{n+1}+4}4$est convergente et trouver sa limite.
Comment lister mes jobs k8s avec un LabelSelector complexe par client-go?
Comment obtenir du texte spécifique appartenant à la classe div
Puzzle coulissant 3 x 2
Kubernetes - Est-il possible de combiner Pod.yaml et Service.yaml dans un fichier yaml (mais sans déploiement)
Groupe initial de dirigeants de Moïse Exode 18:21
Principe de réflexion vs univers
Test alpha opt-in pour un nouvel éditeur de piles
L'arbre de Stern-Brocot peut-il être utilisé pour une meilleure convergence des $2^m/3^n$?
Regrouper la liste par éléments de la liste imbriquée [dupliquer]
Effet Wilson : Quelle est la « profondeur » des taches solaires ?
Pouvons-nous produire de l'électricité à partir des tempêtes de sable martiennes? Si oui, peut-il être utilisé pour alimenter les colonies?
Peut-on caractériser les antichaines maximales en termes de réseaux distributifs?
Comment surveiller les limites de vitesse sur les routes à l'époque médiévale? [dupliquer]
"Ils n'encourent pas de culpabilité et meurent"
Comment supprimer les anneaux de Saturne?
La Cour suprême peut-elle déclarer une mise en accusation inconstitutionnelle? [dupliquer]
Que sont les bombes Ellerman et comment les identifier ?
L'histoire de la mode des loups-garous, partie 1: les années 2000
Étude de cas: que faut-il pour formuler et prouver l'argument du petit objet de Quillen dans ZFC?
Pourquoi les vols ne volent-ils pas plus tôt vers leur trajectoire d'approche à l'atterrissage?
Comment voir si un tableau a 2 éléments ou plus qui sont identiques? [dupliquer]
Concernant un directeur de thèse refusant un étudiant en raison de problèmes de santé
Utilisation d'un mot hébreu inhabituel pour «brillé» dans Exodus
Quelle est la règle pour faire la guerre dans les villes?
La lune a juste la bonne vitesse pour ne pas s'écraser sur la Terre ou s'échapper dans l'espace. Quelles sont les chances?
5 techniques d'écriture créative qui mènent à des articles intéressants
5 techniques d'écriture créative qui mènent à des articles intéressants
Un chatbot pour le contrôle des actifs
Un chatbot pour le contrôle des actifs
Silence
Silence
Faire confiance à son premier instinct dans une relation est vital
Faire confiance à son premier instinct dans une relation est vital
Ce que nous construisons en 2020
Ce que nous construisons en 2020
Rendre les suppressions d'erreurs Flow plus spécifiques
Rendre les suppressions d'erreurs Flow plus spécifiques
Meilleurs langages de programmation pour les ingénieurs IA en 2020
Meilleurs langages de programmation pour les ingénieurs IA en 2020
Raisons de choisir PyTorch pour le Deep Learning
Raisons de choisir PyTorch pour le Deep Learning
Samantha Lazar
Samantha Lazar
Le tourbillon d'un an
Le tourbillon d'un an
L'invitation
L'invitation
Deux référentiels Python pour la visualisation de texte
Deux référentiels Python pour la visualisation de texte
En tirer le meilleur parti: conception UX d'applications hybrides
En tirer le meilleur parti: conception UX d'applications hybrides
Notification et alarmes dans Flutter
Notification et alarmes dans Flutter
6 choses que j'ai apprises de Brendon Burchard
6 choses que j'ai apprises de Brendon Burchard
Faites ce qui compte le plus pour vous d'ici midi
Faites ce qui compte le plus pour vous d'ici midi
Pourquoi vous ne devriez pas prendre les choses personnellement
Pourquoi vous ne devriez pas prendre les choses personnellement
5 choses en commun pour les plus performants
5 choses en commun pour les plus performants
Halloween sur le spectre
Halloween sur le spectre
Je suis un adulte autiste et je déteste Halloween
Je suis un adulte autiste et je déteste Halloween
Je n'aurais jamais pensé que j'accepterais la décence de George W. Bush
Je n'aurais jamais pensé que j'accepterais la décence de George W. Bush
L'émergence de la finance décentralisée
L'émergence de la finance décentralisée
Visualiser la croissance explosive de DeFi en 2020
Visualiser la croissance explosive de DeFi en 2020
Structures de données en JavaScript
Structures de données en JavaScript
ja/shares
es/shares
de/shares
fr/shares
th/shares
pt/shares
ru/shares
vi/shares
it/shares
ko/shares
tr/shares
id/shares
pl/shares
hi/shares
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved