Mise à jour de l'analyse d'invulnérabilité de Koa.js

Nov 26 2022
Il n'y a pas si longtemps, j'ai écrit sur une vulnérabilité qui a affecté Koa.js en 2018.

Il n'y a pas si longtemps, j'ai écrit sur une vulnérabilité qui affectait Koa.js en 2018. J'étais frustré de devoir faire face à un problème de 2018 alors que la date était 2022, et j'utilisais la dernière version de Koa. 4 ans ont passé. C'est une longue période. Le problème n'est sûrement plus là ! ? Et c'était et ce n'était pas en même temps. Cela signifie que j'avais tort et raison en même temps. Alors, voici une mise à jour du post précédent pour vous dire comment:

  • J'ai accusé à tort Sonatype et Dependency Track de ne pas fonctionner avec les informations de version dans des cas spécifiques
  • Je peux avoir raison et tort à la fois sur une vulnérabilité

L'index OSS contient des informations sur la version

Si vous avez lu mon message précédent, vous vous souvenez probablement que j'ai conclu que le problème ne m'avait pas affecté. La bonne nouvelle est que j'avais raison. La mauvaise nouvelle est que j'ai accusé à tort Sonatype de ne pas avoir les numéros de version dans les données fournies par OSS Index pour Dependency Track. Il s'avère qu'ils ont l'information. Ce n'était tout simplement pas visible là où je m'attendais à ce qu'il soit visible. Voir la capture d'écran ci-dessous prise le 22/11/2022.

Informations manquantes sur les versions concernées

Il est fort probable que Dependency Track (DT) ne fonctionne pas précisément avec ce qui est affiché sur la page ci-dessus, mais je ne me souciais pas de vérifier à quoi ressemblaient les données que DT récupère à partir de l'index OSS. DT vient de montrer un lien vers OSS Index, où je pourrais en savoir plus. J'ai cliqué et atterri sur cette page.
Il a été porté à mon attention par Sonatype aujourd'hui que les numéros de version sont disponibles ; Je dois chercher ailleurs. En effet, si vous vous connectez à votre compte et que vous recherchez Koa ou cliquez sur le bouton "Voir les détails de koa" dans la capture d'écran ci-dessus, vous pouvez le trouver. Voir la capture d'écran ci-dessous.

Koa par version et compteur de vulnérabilité de base

J'avais donc tort. Sonatype a les informations dans la base de données. Le problème vient donc de la couche de présentation. Il serait préférable qu'ils aient les versions affectées répertoriées sur la page où la vulnérabilité est réellement discutée afin que nous puissions voir et vérifier si nécessaire.

J'ai accusé à tort Sonatype OSS Index de ne pas avoir les informations de version. J'ai également accusé à tort Dependency Track d'être disposé à signaler uniquement sur la base du nom de la dépendance si les informations de version n'étaient pas disponibles. (Il me reste à savoir si cette dernière est vraie ou fausse, je n'ai pas vérifié.)

N'abandonnez pas tout de suite ! Les choses les plus intéressantes à discuter sont la vulnérabilité réelle et les modifications (espérons-le) à venir du rapport de vulnérabilité dans l'index OSS. Commençons par la vulnérabilité.

Script intersite

Sonatype a attribué XSS à Koa sur la base du processus de réflexion ci-dessous.

Koa est l'entité qui écrit l'URL de la réponse HTML, pas le développeur utilisant Koa

Il est tout à fait raisonnable de s'attendre à ce que le développeur valide l'URL fournie, probablement par rapport à une liste d'autorisation, pour empêcher une redirection ouverte et non Koa car Koa n'aurait aucune idée des URL que vous voudriez autoriser ou non. Cependant, en tant que développeur, je ne pense pas avoir à me soucier de la désinfection XSS d'une URL que je transmets à une méthode redirect().

Koa semble se soucier de XSS dans ce contexte car ils ont déjà du code pour l'empêcher, une entité HTML encodant l'URL lorsqu'ils l'écrivent dans le HTML

Je suis d'accord dans une certaine mesure. Je ne suis pas d'accord avec est le suivant, par exemple.

Je ne pense pas que je devrais avoir à m'inquiéter de faire une désinfection XSS pour une URL que je passe à une méthode redirect ()

Si vous transmettez une URL valide et sûre à une méthode de redirection que vous (le développeur) avez fournie, vous n'avez pas à vous soucier de XSS (évidemment). Si vous transmettez entièrement ou partiellement des données fournies par l'utilisateur, c'est quelque chose dont vous devez toujours vous soucier, que vous soyez développeur ou professionnel de la sécurité. Pourtant, il n'est pas exagéré de s'attendre à ce que Koa aide le développeur.

Permettez-moi de vous donner un excellent exemple qui, je l'espère, aide à comprendre d'où je viens. Dans l'exemple ci-dessous, je transmets les données fournies par l'utilisateur au navigateur dans le corps de la réponse. Je le fais sans aucune validation, désinfection ou encodage.

const Koa = require('koa');
const app = new Koa();

app.use(async ctx => {
  ctx.body = ctx.query.payload;
});

app.listen(4444);


*   Trying 127.0.0.1:4444...
* Connected to 127.0.0.1 (127.0.0.1) port 4444 (#0)
> GET /?payload=<img%20src=x%20onerror=alert(1)> HTTP/1.1
> Host: 127.0.0.1:4444
> User-Agent: curl/7.79.1
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Content-Type: text/html; charset=utf-8
< Content-Length: 28
< Date: Wed, 23 Nov 2022 10:59:17 GMT
< Connection: keep-alive
< Keep-Alive: timeout=5
< 
* Connection #0 to host 127.0.0.1 left intact
<img src=x onerror=alert(1)>%

  • Pensez à quoi et comment je passe au navigateur dans le corps de la réponse
  • Considérez (et probablement mieux contrôler explicitement !) la valeur de l'en-tête Content-Type pour la réponse
  • Sachez que Koa, par défaut, ajuste automatiquement la valeur de l'en-tête Content-Type en fonction de la valeur passée à ctx.body. (Essayez de transmettre, par exemple aaa, et voyez comment cela change)

Si l'on considère l' ctx.bodyexemple « XSS » ci-dessus, il semble que nous reprochions à Koa d'avoir mis en œuvre des mesures spécifiques pour prévenir une catastrophe lors de l'utilisation de ctx.redirect(). Citant encore Sonatype :

Koa semble se soucier de XSS dans ce contexte car ils ont déjà du code là-bas.

Cela signifie-t-il que si Koa ne se souciait pas de XSS dans ce contexte, de la même manière qu'ils ne s'en souciaient pas (et ne devraient pas) s'en soucier en ce qui concerne ctx.body, personne ne l'aurait signalé comme une vulnérabilité XSS ? C'est assez drôle. J'ai remarqué quelques similitudes avec mon analyse précédente sur Formidable documentée ici et ici .

Après avoir dit tout ce que j'ai dit jusqu'à présent, il se trouve qu'un XSS est là… et pas en même temps. Comment est-ce possible? Simple! Il est là, mais vous ne pouvez pas l'exploiter à moins que :

  1. La victime utilise un ancien navigateur Web, ET
  2. Il existe une redirection ouverte implémentée par le développeur à l'aide de Koa's ctx.redirect(), AND
  3. Le développeur fait entièrement confiance à toutes les données fournies par l'utilisateur et les transmet textuellement àctx.redirect()

La page de rapport de Sonatype indiquait, comme vous pouvez le voir sur la capture d'écran d'aujourd'hui, "Ouvrir la redirection menant au Cross-Site Scripting". Mon message précédent remettait en question la partie "redirection ouverte":

Tout d'abord, il n'y avait pas de redirection ouverte. Il n'est ouvert que si vous l'ouvrez et la différence entre les deux PoC (l'original et le mien) le montre clairement.

Sonatype convient également que Koa n'est pas responsable d'empêcher les redirections ouvertes. Leur préoccupation, ma préoccupation et la principale préoccupation de tous les autres était le XSS. Impliquer la redirection ouverte était tout simplement déroutant. En même temps, ce n'était techniquement pas déraisonnable, comme nous le verrons plus tard. (Cela aura également un impact sur le score de vulnérabilité.)

Comme mentionné précédemment, exploiter avec succès le comportement de Koa nécessite une redirection ouverte. Mais:

  • Koa n'est pas responsable d'empêcher les redirections ouvertes (comme conclu précédemment)
  • Koa ne s'exécutera pas ctx.redirect()sans l'accord du développeur
  • Koa n'oblige pas les développeurs à utiliser des redirections

Il existe donc une autre couche de protection : les cas d'utilisation. Quelle est la probabilité qu'un développeur ne veuille pas contrôler l'endroit où un navigateur est redirigé ? Très improbable. Cela signifie que, très probablement, les développeurs transmettront des données contrôlées par l'utilisateur à ctx.redirect()ajouter à un autre morceau de chaîne. Ainsi, quelque chose de similaire aux exemples ci-dessous est le plus susceptible de se produire :

ctx.redirect(`http://website.example.org/search?q=${userInput}`);
ctx.redirect(`/search?topic=${userInput}`);

Score de vulnérabilité

Trois (3) conditions doivent être remplies pour que le bogue soit exploitable, comme indiqué à la fin de la section précédente.

  • La version de navigateur utilisée dépend de l'utilisateur final
  • L'utilisation de la méthode de redirection et la manière dont elle est utilisée dépendent du développeur

Ce qu'il faut également souligner, c'est que l'utilisation de la méthode de redirection de manière non sécurisée est le vecteur d'attaque. Un vecteur d'attaque est nécessaire pour une exploitation réussie. Koa ne fournit pas le vecteur d'attaque ; le développeur le fait.

Corrélons cela avec la définition de « vulnérabilité logicielle » fournie par le NIST :

https://csrc.nist.gov/glossary/term/software_vulnerability

La partie que je voudrais souligner est "pourrait être exploitée". Prenez Koa comme bibliothèque de logiciels. Pouvez-vous l'exploiter sans créer d'abord le vecteur d'attaque requis ? Non. Ainsi, du point de vue de Koa, une bibliothèque de logiciels, aucun vecteur d'attaque n'est présenté ; sans cela, l'exploitation est impossible. Si nous interprétions strictement la définition (ce que je fais), nous ne pourrions pas appeler le comportement de Koa une vulnérabilité.
Essayons de calculer un score CVSS sans vecteur d'attaque :

Calcul du score CVSS sans vecteur d'attaque

Il n'y a pas de score s'il n'y a pas de vecteur d'attaque. Je dirais que cela correspond à la définition de la vulnérabilité logicielle fournie par le NIST.
Expérimentons et créons un scénario imaginaire où un vecteur d'attaque existe.

Vecteur d'attaque fictif

Il y a encore plusieurs problèmes ici, autres que le vecteur d'attaque imaginaire. La complexité de l'attaque a été définie sur Élevée car une exploitation réussie nécessite un ancien navigateur. Un attaquant doit convaincre les victimes de télécharger et d'installer un ancien navigateur.
En ce sens, l'interaction utilisateur est requise, même si les mesures de base de l'interaction utilisateur ne concernent pas vraiment cela. Dans ce scénario, si l'exploitation du XSS nécessite une interaction de l'utilisateur dépend de la façon dont l'application Web a utilisé les redirections et non de Koa. Il convient également de mentionner que le JavaScript injecté ne s'exécuterait pas tout seul car il nécessitait une interaction de l'utilisateur en premier lieu : cliquer sur le lien dans la réponse HTML.

Alors, que pouvons-nous faire pour forcer un score de vulnérabilité sur cela ? Nous devons sélectionner quelque chose. Un vœu pieux, en supposant le pire, tout ce que vous préférez. Une chose est sûre, vous faites un calcul que vous n'êtes pas censé faire en premier lieu, et le résultat est tellement éloigné de la réalité que je ne trouve même pas les mots.

La prochaine grande chose est l'Impact Metrics. Vous devez savoir ce que l'application Web est sur le point de dire l'impact. Mais nous ne calculons pas un score de vulnérabilité pour une application Web… Compte tenu du contexte, ce XSS n'a aucun impact sur Koa. Koa ne gère ni ne traite les informations confidentielles par elle-même. Le bogue n'a aucun impact sur la disponibilité ou l'intégrité. Cela nous laisse avec le score final de 0,0, même après avoir forcé un vecteur d'attaque dans le calcul.

Donc la question est, rapportons-nous des faits ou de la fiction ?

Sonatype a porté à mon attention les directives officielles pour Scoring Vulnerabilities in Software Libraries , qui ont été publiées en 2019 avec CVSSv3.1. J'avoue que je ne le savais pas, ce qui est à la fois bon et mauvais. Bien parce que cela aurait abouti à un post de diatribe, mauvais parce que peut-être que si je l'avais vu plus tôt, j'aurais perdu tout espoir avant de mettre tant d'efforts à essayer d'expliquer que ce n'est pas la bonne façon de procéder. Alors, que disent les directives officielles ?

Lors de la notation de l'impact d'une vulnérabilité dans une bibliothèque… L'analyste doit noter le pire scénario de mise en œuvre raisonnable. Lorsque cela est possible, les informations CVSS doivent détailler ces hypothèses.

La réponse est donc que le score de vulnérabilité est basé sur la fiction.

En outre, qu'est-ce qu'un « scénario de mise en œuvre raisonnable dans le pire des cas » ? Si nous avons analysé de nombreux projets utilisant Koa et constaté que la plupart des développeurs implémentaient des redirections ouvertes en utilisant la ctx.redirect()méthode de Koa, il pourrait être raisonnable de supposer le pire. J'ai effectué une recherche rapide de code dans les projets JavaScript ctx.redirect(sur GitHub. J'ai obtenu 16 827 résultats de code. En cherchant context.redirect(j'ai reçu 15 751 résultats de code. Ce serait 32 578 résultats de code à analyser. Certains d'entre eux utiliseront Koa, d'autres Express et d'autres encore. (Bien sûr, le contexte peut être appelé par n'importe quel nom, pas seulement ctxou context, donc il pourrait y avoir encore plus de code à regarder.)

La question est la suivante : est-ce que la transmission de données fournies par l'utilisateur sans cervelle est si fréquente ? J'ai adopté une approche semi-automatisée de l'analyse en écrivant un petit script pour vérifier tous les projets qui correspondaient aux critères de recherche. Malheureusement, je n'ai pas pu dépasser les 1 000 premiers hits car GitHub a rejeté d'autres demandes :

{
    "message":"Only the first 1000 search results are available",
    "documentation_url":"https://docs.github.com/v3/search/"
}

Sur la base de ce que j'ai vu et compte tenu de ce qui est discuté dans la section suivante ("L'ancien navigateur Web"), je ne pense pas qu'il soit raisonnable de supposer qu'une implémentation dans le pire des cas serait raisonnable. Pas dans ce cas précis.

Les directives officielles indiquent également que :

Lors de la notation d'une vulnérabilité dans une implémentation donnée à l'aide de la bibliothèque impactée, le score doit être recalculé pour cette implémentation spécifique.

C'est raisonnable et atténue dans une certaine mesure l'aspect science-fiction de la situation. C'est ainsi que ce problème de Koa, avec le score de vulnérabilité de 9,8, a fini par être de 0,0 dans notre cas.

La bonne chose est que Sonatype a convenu que le score de vulnérabilité de 9,8 était déraisonnable, et ils sont prêts à le réduire. Je l'apprécie, et probablement beaucoup d'autres aussi.

De plus, Sonatype m'a dit que lorsqu'ils ont ajouté le problème à leur système, ils pensaient qu'il serait préférable que leurs clients soient au courant de cette situation potentiellement inattendue. Ils ont dit, "il valait mieux alerter que d'ignorer ce que nous avons vu et avoir potentiellement un résultat négatif". Et, bien sûr, ils avaient raison.

Je ne me suis jamais demandé si les problèmes de sécurité devaient être communiqués ou non. Oui, les problèmes de sécurité doivent être rendus visibles. Ce qui m'inquiète, c'est la façon dont ces problèmes sont communiqués :

  • Est-il approprié d'appeler quelque chose une vulnérabilité ou plus approprié de l'appeler une faiblesse de sécurité ou un comportement par défaut non sécurisé, et ainsi de suite ?
  • Le score de vulnérabilité attribué est-il raisonnable ?
  • Suffisamment de détails et de contexte sont-ils fournis ?

Parlons maintenant un peu des anciens navigateurs Web.

L'ancien navigateur Web

Sans les bonnes personnes de Sonatype, je n'aurais pas pensé aux anciens navigateurs Web, probablement plus jamais.

Je continuerai à ne pas considérer les anciens navigateurs à l'avenir également. Tout d'abord, il y a trop de choses à garder à l'esprit ; Je ne peux pas m'inquiéter des anciens navigateurs Web. Deuxièmement, quel âge a ( ne cliquez pas sur le lien si vous n'avez pas le sens de l'humour ! ) un ancien navigateur Web ? Que signifie vraiment "ancien" ? Si quelqu'un n'utilise qu'un navigateur d'environ 1 an, il est fort probable qu'il ait déjà des problèmes beaucoup plus importants que XSS.

Pourtant, j'ai fait quelques recherches et j'ai trouvé que:

  • Google Chrome 48.0.2564.109 (64 bits) de 2016 (!) n'affichait même pas le corps de la réponse. Comme le problème de Koa a été découvert en 2018, je pensais que remonter jusqu'en 2016 devrait suffire, mais il s'est avéré que ce n'était pas le cas.
  • Firefox 4.0 de 2011 affichait le corps de la réponse, mais les utilisateurs devaient cliquer sur le lien pour que la charge utile JavaScript s'exécute. (Bien sûr, c'est un lien!)
  • Firefox 52.0 de 2017, 1 an avant que le problème Koa XSS ne soit signalé, n'affichait déjà pas le corps de la réponse avec la charge utile JavaScript. Firefox vient de lancer une erreur indiquant "Erreur de contenu corrompu" en raison d'une "violation du protocole réseau".

Koa 0.0.1 est sorti en 2013, il y a donc eu quelques années où le problème aurait pu être exploité. À partir de là, il serait probablement acceptable de signaler ce problème (toujours pas avec un score de 9,8) jusqu'à Koa 2.5.0 en 2018. Après cela, cependant, rien ne justifie quoi que ce soit au-dessus de 1.0.

En fouillant, j'ai trouvé quelque chose d'intéressant sur Wikipédia . Permettez-moi de citer :

Firefox 15 est sorti le 28 août 2012… Firefox 15 a introduit des mises à jour silencieuses, une mise à jour automatique qui mettra à jour Firefox vers la dernière version sans en avertir l'utilisateur, [65] une fonctionnalité que les navigateurs Web Google Chrome et Internet Explorer 8 et supérieur ont déjà mis en œuvre

Ainsi, tous les principaux navigateurs Web disposaient d'une fonction de mise à jour automatique avant la sortie de la première version de Koa, ce qui signifie qu'il est probable que la majorité des utilisateurs utilisaient un navigateur Web à jour. Voyons l'état au moment du « big bang » : 2013.

  • Firefox 15 : A renvoyé une erreur indiquant « Erreur de contenu corrompu », ce qui signifie que le corps de la réponse n'a pas été affiché à l'utilisateur.
  • Chrome 24.0.1312 (WebKit 537.17) : Il n'affichait aucun corps de réponse. En regardant l'onglet réseau des outils de développement, il n'y avait presque rien de visible, j'ai donc dû exécuter Wireshark pour voir si le navigateur exécutait la demande en premier lieu. Dans Wireshark, il était visible que Chrome avait contacté mon service PoC et avait reçu la réponse avec la charge utile JavaScript. Il n'a pas rendu le corps de la réponse. Mieux encore, il ne s'est rien passé.
  • Internet Explorer 11 (11.0.9600.19180) : Il a récupéré la réponse de mon service PoC, que j'ai vérifié à l'aide de Wireshark. Il n'a pas montré le corps de la réponse à l'utilisateur. Il est revenu avec la page d'erreur intégrée classique qui dit : « Cette page ne peut pas être affichée ».

Après avoir fait les recherches ci-dessus, revenons une seconde à une citation de Sonatype :

Koa semble se soucier de XSS dans ce contexte car ils ont déjà du code pour l'empêcher, une entité HTML encodant l'URL lorsqu'ils l'écrivent dans le HTML

Bien que cette affirmation soit correcte, le fait qu'aucun des principaux navigateurs n'autorisait l'exploitation au moment de la sortie de la première version de Koa, la citation suggère quelque chose d'intéressant, autre chose que ce que la phrase voudrait suggérer. Veuillez noter que je suis sur le point d'écrire des spéculations car je ne peux pas savoir précisément comment les développeurs de Koa pensaient. Je peux facilement imaginer que le ou les développeurs ont testé le comportement en question à l'aide d'un navigateur Web à jour. Ils ont peut-être trouvé que l'encodage HTML convenait car il était déjà impossible d'obtenir du code JavaScript injecté exécuté à partir de la hrefpropriété duaétiquette. Cela soulève une question sérieuse. Ayant passé les cinq dernières années de plus du côté du développement logiciel, cela s'applique également à moi : en tant que développeur, si je suis sur le point de créer une nouvelle technologie Web pour le côté backend, dois-je me soucier des anciens navigateurs Web ? Et si je devais, quelle est la recommandation officielle de la communauté de la sécurité concernant la date à laquelle je dois remonter dans le temps pour considérer les anciens navigateurs Web ? Ne devrions-nous pas considérer que la meilleure pratique de sécurité pour les utilisateurs finaux consiste à maintenir leur navigateur à jour, et la fonction de mise à jour automatique est également là pour aider à cela ? De plus, si nous nous attendons à ce que les développeurs gardent à l'esprit et testent avec d'anciens navigateurs, ne pouvons-nous pas nous attendre à ce que les professionnels de la sécurité fassent de même et nomment tous les navigateurs Web et leurs versions qui contribuent à un problème spécifique au lieu de simplement se référer aux "anciens navigateurs". ” ? Ce ne serait que juste.

Une chose est sûre, il n'y a plus rien à craindre depuis des années maintenant...

Le navigateur moderne

Dans mon analyse, à l'aide de mon navigateur Web, j'ai vérifié le corps de la réponse et je l'ai trouvé vide. Je n'ai pas vérifié si la réponse envoyée par fil avait un corps. Il s'avère que c'est juste Google Chrome qui a complètement ignoré le corps de la réponse ; par conséquent, cela ne s'est pas montré. C'etait assez bon pour moi. Raisonnablement, je dois ajouter.

Depuis lors, j'ai regardé la réponse de mon service Web de test en utilisant la dernière version de Koa. Nous pouvons voir ci-dessous qu'il y avait un corps de réponse HTML avec le code JavaScript injecté :

*   Trying 127.0.0.1:4444...
* Connected to 127.0.0.1 (127.0.0.1) port 4444 (#0)
> GET /?payload=javascript:alert(1); HTTP/1.1
> Host: 127.0.0.1:4444
> User-Agent: curl/7.79.1
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 302 Found
< Location: javascript:alert(1);
< Content-Type: text/html; charset=utf-8
< Content-Length: 71
< Date: Tue, 22 Nov 2022 17:55:12 GMT
< Connection: keep-alive
< Keep-Alive: timeout=5
< 
* Connection #0 to host 127.0.0.1 left intact
Redirecting to <a href="javascript:alert(1);">javascript:alert(1);</a>.


*   Trying 127.0.0.1:4444...
* Connected to 127.0.0.1 (127.0.0.1) port 4444 (#0)
> GET /?payload=%22><%2f HTTP/1.1
> Host: 127.0.0.1:4444
> User-Agent: curl/7.79.1
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 302 Found
< Location: %22%3E%3C/
< Content-Type: text/html; charset=utf-8
< Content-Length: 61
< Date: Tue, 22 Nov 2022 22:18:49 GMT
< Connection: keep-alive
< Keep-Alive: timeout=5
< 
* Connection #0 to host 127.0.0.1 left intact
Redirecting to <a href="&quot;&gt;&lt;/">&quot;&gt;&lt;/</a>.

Changements à venir

Vous trouverez ci-dessous la liste des mises à jour que Sonatype prévoit de mettre en œuvre concernant ce problème :

  • Mise à jour de la ligne Résumé/Titre pour éliminer les malentendus (déjà arrivé)
  • Réduire le score de vulnérabilité à 4,7 (déjà arrivé)
  • Mentionnez que la vulnérabilité ne peut être exploitée que si un utilisateur utilise un navigateur plus ancien

Modifications supplémentaires que j'aimerais voir

En plus des changements mentionnés dans la section précédente, certaines choses pourraient encore être améliorées. Ceux-ci sont:

  • Réduire davantage le score de vulnérabilité, en particulier pour les versions Koa publiées après 2018.
  • Y compris le numéro de version d'au moins les principaux navigateurs Web et leurs dates de sortie incluses dans le rapport lorsqu'il s'agit des « anciens navigateurs ». Cela aiderait considérablement n'importe qui lors de "l'évaluation d'une vulnérabilité dans une implémentation donnée à l'aide de la bibliothèque impactée". Par exemple, si j'avais vu qu'un utilisateur devait utiliser un navigateur à partir de 2011, j'aurais marqué le problème comme "non affecté" dans SCA en une seconde. C'est beaucoup de temps gagné.
  • Les versions de Koa concernées doivent être listées sur la page de la vulnérabilité .

Soit dit en passant, Sonatype a également mentionné avoir des vérifications intéressantes dans son offre commerciale qui, par exemple, effectuent de véritables vérifications au niveau du code pour voir si une application a été affectée par les vulnérabilités signalées. Cela semble bien, et compte tenu de la nature scientifique de la façon dont les scores de vulnérabilité sont calculés pour les bibliothèques, ces types de vérifications sont indispensables pour réduire la charge des équipes d'ingénierie, surtout si les choses continuent comme ça.

Conclusion

C'est à peu près toutes les mises à jour que j'ai. Je suis content d'avoir contacté Sonatype car ils sont très professionnels et sympathiques. Ce fut un plaisir de travailler avec eux sur ce sujet.

Concernant le XSS en Koa : c'est quelque chose dont aucun d'entre nous n'aurait dû s'inquiéter depuis plusieurs années maintenant.

Qu'est-ce qu'une liste liée, de toute façon? [Partie 1]
Qu'est-ce qu'une liste liée, de toute façon? [Partie 1]
Alors, parlez-moi des listes liées
Alors, parlez-moi des listes liées
Quand tout le reste échoue, soyez créatif
Quand tout le reste échoue, soyez créatif
Mon vaisseau au bout du monde
Mon vaisseau au bout du monde
Lasagnes à la citrouille et au chou frisé
Lasagnes à la citrouille et au chou frisé
N'ayant pas peur d'échouer, Walker Buehler réussit à nouveau calmement dans NLCS Game 6
N'ayant pas peur d'échouer, Walker Buehler réussit à nouveau calmement dans NLCS Game 6
Eh bien avec Kell: ami, nettoyez votre intestin!
Eh bien avec Kell: ami, nettoyez votre intestin!
Mon voisin
Mon voisin
Brillant
Brillant
La créativité comme boussole
La créativité comme boussole
L'effet de la peur et du chagrin sur la créativité
L'effet de la peur et du chagrin sur la créativité
L'effet de la solitude sur la créativité
L'effet de la solitude sur la créativité
Mais que faire si je n'ai nulle part où retourner?
Mais que faire si je n'ai nulle part où retourner?
Le chagrin invisible
Le chagrin invisible
J'ai enfin arrêté de fumer
J'ai enfin arrêté de fumer
Je ne me sens plus coupable de ne pas être productif en lock-out
Je ne me sens plus coupable de ne pas être productif en lock-out
L'Amérique a toujours été un désert brutal et solitaire
L'Amérique a toujours été un désert brutal et solitaire
Un bref examen de deux scènes de 'Borat 2'
Un bref examen de deux scènes de 'Borat 2'
Votre enfant transgenre a besoin d'un thérapeute - et vous aussi
Votre enfant transgenre a besoin d'un thérapeute - et vous aussi
Leçons de vie avec la permission de mon fils transgenre
Leçons de vie avec la permission de mon fils transgenre
Je refuse de laisser l'inquiétude avoir tout le pouvoir
Je refuse de laisser l'inquiétude avoir tout le pouvoir
Masques faciaux irritants, mode et craintes de COVID-19
Masques faciaux irritants, mode et craintes de COVID-19
Samsung Galaxy Note 20 Ultra: bon téléphone, mauvais moment
Samsung Galaxy Note 20 Ultra: bon téléphone, mauvais moment
Que se passe-t-il après avoir remporté un Oscar?
Que se passe-t-il après avoir remporté un Oscar?
Pourquoi Paul McCartney était «gardé» de dire la vérité sur les Beatles
Prince a travaillé sur une chanson de Stevie Nicks pendant une heure et a gagné la moitié des royalties 
John Lennon a dit 1 ligne dans "Revolution" des Beatles a commenté la police
MIA a une fois attaqué "Give Peace a Chance" de John Lennon
Les conseils de Jimmy Page aux jeunes musiciens sont directement tirés du manuel du conférencier motivateur
Comment Melissa Gilbert a sauvé un oiseau en le piégeant sous sa chemise de nuit
Le manager de Led Zeppelin, Peter Grant, a vu un faux groupe gagner un Grammy avant que Zep ne le fasse
Retour sur le rôle de Buddy Ebsen dans "The Andy Griffith Show"
« Boy Meets World » : pourquoi M. Turner a-t-il disparu de la série ?
Ringo Starr refuse de jouer avec une piste de clic, et cela fait de lui un meilleur batteur
La chanson des Beatles, Peter Asher, qualifiée de « la plus grande chanson que j'aie jamais entendue »
"Ne dormez pas dans le métro" déconcerté Petula Clark
"Sympathy for the Devil" des Rolling Stones sonnait à l'origine comme de la musique brésilienne
Paul McCartney a dit que "Quand j'ai soixante-quatre ans" des Beatles était une blague
Dolly Parton a trouvé Dieu dans une église abandonnée Des adolescents locaux utilisés pour le sexe
George Harrison s'est énervé, ses paroles pour "Hurdy Gurdy Man" de Donovan n'ont pas été utilisées
Comment John Ritter est mort: retour sur la mort de l'acteur de "Three's Company"
Paul McCartney a imaginé comment sa mère aurait réagi à son succès
Taylor Sheridan vient d'ajouter 1 de ses stars préférées de "Yellowstone" au casting de "Lawmen: Bass Reeves"
Jana Duggar : Tout ce qu'elle a dit sur l'amour et sa fenêtre de 5 ans pour trouver le « bon »
Nicole Kidman a adoré cette fonctionnalité attrayante que Michael Keaton et Val Kilmer ont partagée en tant que Batman
Rolling Stones : Keith Richards s'est fait énerver par 1 groupe de fans de musique qui ont critiqué le groupe
La première chanson des Beatles qui était l'une des " performances les plus excitantes " du groupe, selon un initié de Fab Four
Paul McCartney a partagé ce qui l'a le plus impressionné à propos de John Lennon lors de leur première rencontre
Stevie Nicks s'est accrochée à 1 chanson de Joni Mitchell quand elle a senti que sa carrière musicale échouait
Paul McCartney : La souffrance a rendu 1 chanson de l'album blanc des Beatles bonne
Paul McCartney était tellement stressé par le seul spectacle annulé des Beatles qu'il a vomi
David Bowie a presque écrit une comédie musicale composée de fausses chansons de Bob Dylan
Billy Crystal et Robin Williams ont publié l'intégralité de leur camée "amis"
Quentin Tarantino a une fois partagé le personnage le plus intéressant qu'il ait jamais écrit dans "Pulp Fiction"
Comment Paul McCartney a réagi au titre "Lucy in the Sky with Diamonds" des Beatles
Winona Ryder a partagé une fois que tous ses personnages avaient été écrits comme la "fille laide" plus tôt dans sa carrière
Mick Jagger a déclaré que la "demande de leurs majestés sataniques" des Rolling Stones était inspirée de l'acide, pas des Beatles
Paul McCartney a dit qu'il était "chanceux" de n'avoir jamais consommé d'héroïne 
La chanson de Paul Simon qui parodiait parfaitement Bob Dylan 
Petula Clark dit que "Downtown" a révélé une chanson désespérée
Paul McCartney a dit un 'Sgt. Pepper' Song ne parle pas d'héroïne
Gene Simmons dit que les bandes dessinées KISS pourraient potentiellement "recréer l'humanité"
Brad Pitt et Harrison Ford ont dû inventer "The Devil's Own" à la volée lorsque le "script a été jeté"
Dolly Parton a aidé sa grand-mère "invalide" alors qu'aucun des autres petits-enfants ne le ferait - elle lui faisait aussi des blagues
La carrière d'acteur de Bradley Cooper était en jeu lorsqu'il a travaillé avec Julia Roberts sur ce projet
Sam Heughan sait exactement ce qu'il retirera de l'ensemble "Outlander" - "J'ai l'impression d'être Jamie quand je les mets"
Donovan a comparé une de ses chansons à "Lucy in the Sky with Diamonds" des Beatles
"L'étrange histoire de Natalia Grace" : où sont Nataila, Kristine et Michael Barnett aujourd'hui ?
Le meilleur moment pour visiter le lieu de tournage de "La petite maison dans la prairie"
"My Way" de Frank Sinatra n'était pas aussi gros que son "Old MacDonald"
John Lennon a expliqué pourquoi "The Tonight Show" était l'émission "la plus embarrassante" à laquelle il ait jamais assisté
Christopher Nolan a un jour regretté d'avoir lu "Pulp Fiction Script" de Quentin Tarantino
Qui a dit ça? Le quiz des doubleurs
Les Philippines organisent la plus longue fête de Noël au monde
Myxine : cette machine à slime ressemblant à une anguille est le cauchemar d'un prédateur
Quelle est la différence entre les levures sèches instantanées et actives ?
Les réfugiés ukrainiens pourraient ne jamais rentrer chez eux, même après la fin de la guerre
La Biennale de Venise est l'"Olympique de l'art"
Ketanji Brown Jackson confirmé comme juge à la Cour suprême
5 citations éloquentes et durables de Maya Angelou
La cuisson par induction est-elle meilleure que le gaz ou l'électricité ?
La mante orchidée ressemble à une fleur et « pique » comme une abeille
Qu'est-ce qu'un génocide et la Russie le commet-elle en Ukraine ?
1 500 $ aujourd'hui achète un Yellowstone Pass pour 2172
Le serpent Sidewinder se déplace dans le sable meuble grâce à des écailles spéciales
The Secrets of Airline Travel Quiz
Chief Plenty Coups : leader visionnaire et défenseur de la nation Crow
Le temps n'existe peut-être pas, disent certains physiciens et philosophes
D'où vient l'expression "On the Lam" ?
Dévoiler l'énigme du Verseau : explorer l'essence unique de l'air
Elon Musk possède Twitter. Qu'est ce qui pourrait aller mal?
Un regard sur les mariages les plus mémorables de la Maison Blanche
Qu'est-ce qu'une pilule empoisonnée et Twitter tiendra-t-il Elon Musk à distance ?
Les hôtels à insectes déroulent le tapis de bienvenue pour les insectes de toutes sortes
Martha Mitchell : la femme qui en savait trop sur le Watergate
Quelle est la différence entre une démocratie et une république ?
Mangeriez-vous du Casu Marzu, le fromage illégal avec des asticots ?
Faites don de vos cheveux pour aider à garder notre eau propre
La plus haute montagne du système solaire est bien plus haute que l'Everest
Ne jetez pas ces tubes en carton ! 10 façons de les réutiliser
20 idées de costumes de groupe pour Halloween
Peut-être que vous pouvez être trop mince ? Découvrez le gratte-ciel le plus maigre du monde
Where in the World Are You? Take our GeoGuesser Quiz
Avez-vous besoin d'avoir une attitude positive pour vaincre le cancer ?
Les perruches sont super sociales et font d'excellents animaux de compagnie
Pourquoi les États-Unis n'ont-ils pas de système de déclaration de revenus "sans retour" ?
Comment réinitialiser votre iPhone en usine
Carte de Tarot Cinq de Coupes : Explorer la perte, le regret et la guérison
How to Get Rid of Drain Flies
Un petit groupe de samaritains pratiquent encore leur ancienne religion
Le boson W nouvellement mesuré pourrait-il briser le modèle standard ?
Quel est le pamplemousse le plus sucré : blanc, rouge ou rose ?
Pripyat : la ville fantôme ukrainienne dans l'ombre de Tchernobyl
Qu’est-ce que l’humidité et comment l’humidité affecte-t-elle la température ?
Les centrales électriques virtuelles pourraient-elles aider à stabiliser le réseau énergétique américain ?
Pourquoi Sriracha est la sauce piquante préférée de tout le monde
Devriez-vous utiliser Facebook ou Google pour vous connecter à d'autres sites ?
Quelle est la taille de la personne la plus petite du monde ?
Qui était Ponce Pilate, avant et après la crucifixion de Jésus ?
L'intrication quantique est le phénomène le plus étrange de la physique, mais qu'est-ce que c'est ?
L'hystérie de confinement alimentée par la tronçonneuse de Cate Blanchett l'a conduite à Borderlands
Empêchez votre chat de gratter les meubles grâce à ces stratégies fondées sur la science
McLaren ne peut tout simplement pas arrêter de licencier les pilotes d'IndyCar, elle adore ça en fait
Land Rover Defender Octa est une bête de 626 chevaux destinée aux rapaces du monde
Simone Biles peut-elle préparer SZA pour les Jeux olympiques ?
Lionsgate se donne un an pour changer le titre de Now You See Me 3 en Now You Three Me
Cate Blanchett explique pourquoi elle est dans le film Borderlands
BMW ne veut pas que les voitures brûlées dans un porte-voitures soient mises en vente
Des turbulences effrayantes envoient un homme voler dans un compartiment supérieur dans une vidéo virale
La Xbox subit une panne majeure [Mise à jour : elle fonctionne à nouveau]
Le directeur de Twister n'a pas reçu l'avertissement de tornade concernant Twisters
La Cour suprême entendra les arguments sur la question de savoir si la loi du Texas peut déterminer vos habitudes pornographiques
MaXXXine est un conte hollywoodien pulpeux qui semble trop apprivoisé
Ridley Scott "n'était pas content" lorsque les suites d'Alien et Blade Runner ont été dévoilées
La Cour suprême déclare que Trump bénéficie de l'immunité pour tout crime commis entre 9 et 17 heures
Certains fans de Mortal Kombat craignent que le dernier jeu soit déjà mort, mais cela pourrait être plus compliqué
Vous vous souvenez de l'époque où une compagnie aérienne néerlandaise a mis 440 écureuils dans un broyeur géant ?
Faites-vous une faveur et allez voir le meilleur événement de speedrunning de l'année
Le spectacle Black Panther de Marvel sera le spectacle d'animation le plus crucial à ce jour
Récapitulatif de The Bear : Marcus est-il l'homme le plus gentil, le plus doux et le plus sincère de Chicago ?
Deadpool et Wolverine débloqueront enfin les films X-Men de Marvel
Voici pourquoi Eddie Murphy a été « forcé » de changer son célèbre rire
Le rappeur YouTube populaire et le célèbre assistant TikTok se lancent dans un match d'aboiements viraux
Pas bon : l'ouragan Beryl est la première tempête de catégorie 5 de l'histoire enregistrée
L'aventure Bayou de Tiana brise 87 ans d'un étrange canon de princesse Disney
Une camionnette de livraison Amazon s'enflamme dans une explosion ardente pendant la chaleur estivale de Houston
De nouveaux bugs Open Source rendent des milliers d’applications iOS vulnérables au piratage
Voulez-vous une Corvette mais souhaitez-vous qu’elle ait l’air horrible ? Garçon, avons-nous la voiture pour toi
Deux enfants palestiniens sont « traumatisés » après qu'une femme aurait tenté de les noyer
L'IA pour exhumer les voix de célébrités mortes pour vous lire des PDF ou autre
L'une des nombreuses idées rejetées de Ryan Reynolds pour Deadpool 3 était un road trip indépendant
Mauvaise nouvelle pour Fani Willis et son affaire d’ingérence électorale Trump
Vous pouvez désormais posséder le bikini le plus emblématique de la science-fiction
Biden applaudit à la décision de la Cour suprême sur l'immunité Trump et souligne le danger d'un pouvoir incontrôlé
RIP Robert Towne, scénariste oscarisé de Chinatown
L'épouse de Zelensky n'a pas réellement acheté de Tourbillon Bugatti malgré les affirmations de la propagande russe
My Elden Ring : Invocations de joueurs Shadow Of The Erdtree, classées
Regardez Motorweek tester la Sterling, une version britannique oubliée de la légende Acura
La nièce de Luther Vandross a quelque chose à dire sur son entretien déchirant avec Oprah Winfrey après un AVC
Le pape François approuve le premier saint millénaire
À 9 800 $, voudriez-vous les emballer dans ce Toyota RAV4 2008 à sept places ?
Sondage : les démocrates suivent Trump s'ils remplacent Biden par Biden, Biden ou Biden
The Wild Reason Le sort de Young Thug dans le procès YSL Rico prendra plus de temps que prévu
J'ai passé un week-end avec le jeu à distance et le cloud gaming et c'était plutôt génial
Un homme de Louisiane a envoyé un avertissement effrayant avant une vague de crimes
Je supplie les joueurs de Final Fantasy 14 de simplement lire le dialogue dans Dawntrail
Le conducteur parvient à retourner le Cybertruck Tesla, aucune conduite autonome n'est nécessaire
Le Flic de Beverly Hills : critique d'Axel F : Eddie Murphy y va doucement dans le retour en arrière simple de Netflix
Jimmy Buffett, chanteur de "Margaritaville", est mort à 76 ans
Tout sur la relation de Zoë Kravitz avec ses parents Lenny Kravitz et Lisa Bonet
Trevor Noah dit que "Break My Soul" de Beyoncé était la "bande originale de ma vie" alors qu'il quittait le "Daily Show"
Le patinage artistique américain "frustré" par l'absence de décision finale dans l'épreuve par équipe, demande une décision équitable
Qui est le mari de Lisa Vanderpump ? Tout sur Ken Todd
TJ Watt veut voir Tom Brady et son frère JJ être intronisés ensemble au Temple de la renommée de la NFL
Des corps soupçonnés d'appartenir à des rappeurs portés disparus depuis la découverte d'un concert annulé : "Ils ne méritaient pas ça"
Margaret Josephs défend le choix « dévastateur » de Melissa et Joe Gorga de sauter le mariage de Teresa Giudice
Marvel publie actuellement un mémoire fictif de Scott Lang de "Ant-Man and the Wasp: Quantumania"
Susan Lucci se souvient en larmes de son défunt mari alors qu"elle admet qu"elle n"est pas encore prête à commencer à sortir ensemble
Paul McCartney sur le fait d'être « romantique » avec sa femme Nancy Shevell : « J'ai complètement exagéré la Saint-Valentin »
Animal Rescue avertit de «ne jamais teindre un oiseau» après la découverte d'un pigeon rose «en difficulté» errant à New York
Chronologie de la relation entre Maggie Gyllenhaal et Peter Sarsgaard
Un professeur de l'Université Purdue arrêté pour avoir prétendument vendu de la méthamphétamine et proposé des femmes pour des faveurs sexuelles
Danielle Moné Truitt de "Law & Order" pense que les fans ont été "trompés" ; Par Stabler et Benson Kiss Tease
Une femme décédée il y a 37 ans après avoir été retrouvée inconsciente sur l'autoroute Ga identifiée comme étant la mère disparue de 4 enfants
Les acheteurs conviennent que cette balayeuse de sol Black + Decker est «beaucoup plus rapide» qu'un balai traditionnel, et elle est en solde
Chronologie de la relation entre Suzanne Somers et Alan Hamel
Dwayne Johnson dit que sa mère va « bien » après un accident de voiture tard dans la nuit, « continuera à être évaluée »
Chelsea Houska de 'Teen Mom' partage une réaction en larmes au renouvellement de la saison 2 de l'émission HGTV: 'signifie tellement'
La succession de Kirstie Alley répertorie la maison de 6 millions de dollars de Late Star en Floride qu'elle a achetée à Lisa Marie Presley
Muni Long dit qu'elle n'a pas encore "traité" pour gagner 3 Grammy Noms : "Tout va si vite"
Bob Barker, animateur de longue date de « The Price Is Right », est mort à 99 ans : « Le plus grand MC du monde »
L'infirmière Lucy Letby reconnue coupable du meurtre de 7 nourrissons dans un hôpital britannique
La fille de Kevin Jonas, Alena, a l'air d'avoir grandi sur la photo d'anniversaire : "9 ans, ça ne semble pas réel"
Gwyneth Paltrow révèle la robe de soirée qu'elle a gardée de sa relation avec Brad Pitt 
Qui est la femme de Vince Vaughn ? Tout sur Kyla Weber
Matthew McConaughey révèle qu'une diseuse de bonne aventure lui a dit de jouer dans "Comment perdre un mec en 10 jours"
Irene Cara, chanteuse de Flashdance, est décédée d'hypertension et d'hypercholestérolémie
Lizzo a obtenu la marque de commerce pour '100% THIS Bitch' en inversion après le rejet de la demande
Une fille disparue de 17 ans est probablement morte de froid après avoir conduit dans un fossé dans le Wisconsin rural: des responsables
L'olympienne Jasmine Camacho-Quinn célèbre que son frère Robert Quinn se dirige vers le Super Bowl
Il y a plus de 2 500 styles pour temps froid cachés dans cette section de vente secrète chez Nordstrom Rack – À partir de 6 $
Melissa Gorga ne sait pas si elle résoudra la querelle avec Teresa Giudice: "À quel point pouvez-vous laisser quelque chose devenir toxique?"
Le sèche-cheveux léger «très silencieux» qui, selon les acheteurs, leur donne une «finition de salon» ne coûte que 20 $ sur Amazon
L"histoire des rencontres de Drake : de Rihanna à Jennifer Lopez
Une femme retrouvée vivante et à bout de souffle dans un sac mortuaire à la maison funéraire de l'Iowa
Whoopi Goldberg montre à Kit Harington ses toilettes inspirées de "Game of Thrones" : "Un véritable trône de fer"
Tom Girardi assiste à l'audience pour déterminer sa compétence à subir son procès pour fraude
La famille de Yara Shahidi : tout sur les parents et les frères et sœurs de l'actrice
Yasmin Vossoughian de MSNBC dit que le médecin a rejeté ses douleurs thoraciques en tant que reflux, puis son "cauchemar" a commencé
Qui est la femme de Craig Melvin ? Tout sur la journaliste sportive Lindsay Czarniak
Molly Ringwald célèbre son 22e anniversaire avec son mari Panio Gianopoulos : "La meilleure décision que j'ai jamais prise"
Eric et Jessie James Decker "se bécotent toujours l'un sur l'autre" - et les enfants n'aiment pas ça
Chloe Cherry de 'Euphoria' fait face à une accusation de vol pour avoir prétendument volé un chemisier de 28 $
Heather Rae et Tarek El Moussa ont eu leur petit garçon : "Nos coeurs sont si heureux"
Les acheteurs d'Amazon disent qu'ils dorment «comme un bébé choyé» grâce à ces taies d'oreiller en soie qui coûtent aussi peu que 10 $
Charly Reynolds révèle une récente opération des cordes vocales : "J'avais du mal à chanter"
Si je veux savoir comment commencer un traitement de changement de genre, quel type de médecin dois-je consulter ?
Quel est le meilleur âge pour commencer la transition femme-homme ?
Transgenre : Quelle a été la partie la plus difficile de votre transition d'homme à femme ?
Est-ce que 18 ans est un bon âge pour commencer la transition vers MTF ?
Je viens d'avoir 17 ans, que dois-je faire maintenant pour me garantir la meilleure vie ?
La spironolactone est-elle mauvaise pour le THS ?
J'ai 17 ans, que dois-je faire pour acquérir plus de connaissances ?
Pendant la transition de genre de l'homme à la femme, qu'est-ce que ça fait de faire pousser des seins ?
Comment amorcer ma transition d'homme à femme ? J'ai toujours été une fille à l'intérieur. Qu'est-ce que je dois faire?
Pouvez-vous commencer les hormones MTF HRT à 13 ans ?
J'ai 19 ans aujourd'hui. Quelle est la chose la plus importante que je devrais apprendre ?
La puberté se déroule-t-elle par étapes ? Peut-il s'arrêter puis recommencer ?
À 13 ans, comment puis-je économiser et stocker de l'argent sans que mes parents le sachent ?
Quelles sont les compétences de vie nécessaires que je peux maîtriser en cet été de 3 mois ? J'ai 17 ans.
Je suis un étudiant de 21 ans. Que puis-je faire maintenant qui changera ma vie pour toujours ?
Que devrait-il se passer si vous ne traversez jamais la puberté ?
Je suis une adolescente de 14 ans qui s'ennuie facilement de ses hobbies. Comment puis-je trouver ma passion et mon talent?
Comment prendre rendez-vous chez le médecin sans mes parents et sans qu'ils sachent pourquoi j'y vais ? J'ai 15 ans.
Quels médicaments peuvent transformer un homme en femme sans chirurgie ?
Suis-je toujours transgenre (FTM) si je n'ai commencé à montrer des signes qu'à la puberté ?
Est-ce que c'est normal que j'ai 13 ans mais que je reste un enfant dans l'âme ?
Est-ce que tout le monde passe par la puberté ?
J'ai 17 ans et j'ai l'intention d'aller en HRT lorsque j'obtiendrai mon diplôme cette année à l'âge de 18 ans. Jusque-là, que pouvais-je faire pour me sentir plus féminine ?
J'ai 30 ans. Que puis-je faire maintenant qui changera ma vie pour toujours ?
J'aurai 17 ans dans un mois et j'ai pensé que je ne me sens pas vraiment différent d'avoir 11 ans, est-ce normal ? Vais-je vraiment changer en vieillissant ?
Je vais avoir 16 ans demain. Quels conseils spécifiques pouvez-vous donner à un garçon de 16 ans ?
Quelle est la chose la plus utile que je puisse faire à 14 ans ?
La chirurgie du bas en vaut-elle la peine pour une transition homme-femme?
J'ai 16 ans et 17 ans le mois prochain. Comment puis-je trouver un thérapeute si ma mère pense que je n'en ai pas besoin ?
Je suis un enfant dépressif de 13 ans et je veux voir un médecin à ce sujet, mais j'ai peur de le faire et que mes parents le considèrent comme mes hormones et autres. Que dois-je faire?
Est-ce une bonne idée de commencer le THS à 18 ans (transgenre) ?
Le THS est-il recommandé pour les adolescents transgenres ?
Que peut faire un jeune de 14 ans pour améliorer/simplifier sa vie ?
Comment arrêter la puberté sans bloqueurs de puberté ?
Quelle est la chose la plus importante qu'un adolescent de 14 ans devrait garder à l'esprit ?
Quelle est la meilleure façon de passer naturellement d'un homme à une femme ?
J'ai 19 ans et un enfant unique. Je déprime et j'ai peur que quelque chose arrive à mes parents parce qu'ils sont tout ce que j'ai. Je n'ai pas d'amis et je n'ai pas pu m'en faire avec la pandémie. J'ai peur d'être seul, que puis-je faire pour m'aider ?
J'ai 23 ans. Que puis-je faire maintenant qui changera ma vie pour toujours ?
Comment vivre pleinement sa vie à 19 ans ?
Pourquoi n'ai-je jamais vu une personne transgenre de sexe féminin à masculin ?
J'ai 14 ans, quel conseil voudriez-vous me donner qui me sera utile pour le reste de ma vie ?
Selon vous, quelle est la transition de genre la plus difficile, de femme à homme (FtM) ou d'homme à femme (MtF) ?
Je passe du féminin au masculin. Quel devrait être mon nouveau nom ?
Comment changer ma vie à 17 ans ?
Quels sont les avantages et les inconvénients de la puberté ?
Quels sont les effets négatifs du passage à la puberté (santé mentale, etc.) ?
Quels changements se produiront si vous prenez un THS à 13 ans ?
J'ai 19 ans. Suis-je encore en pleine puberté ?
MOCs: une question sur l'utilisation de la marque LEGO
winforms C # .NET - Comment améliorer les performances de mon code tout en utilisant des boucles (for, foreach, etc…) [fermé]
Pourquoi les fruits et légumes marinés ne faisaient-ils pas partie des rations (européennes) à l'ère de la voile?
Pourquoi les vols ne volent-ils pas plus tôt vers leur trajectoire d'approche à l'atterrissage?
Manière la plus propre d'utiliser BeginTransaction en utilisant try catch
java: obtenir le nombre de toutes les clés et valeurs distinctes dans Map <String, Set <String>> [duplicate]
Quelle est la règle pour faire la guerre dans les villes?
L'histoire de la mode des loups-garous, partie 1: les années 2000
Test alpha opt-in pour un nouvel éditeur de piles
Que sont les bombes Ellerman et comment les identifier ?
L'arbre de Stern-Brocot peut-il être utilisé pour une meilleure convergence des $2^m/3^n$?
Comment lister mes jobs k8s avec un LabelSelector complexe par client-go?
Quelle est la bonne façon de fermer un socket C# dans .NET Core 3.1 ?
Comment attacher des cristaux à un bâton de chaman sans utiliser d'adhésif?
Comment supprimer les anneaux de Saturne?
Effet Wilson : Quelle est la « profondeur » des taches solaires ?
Supprimer la bordure intérieure dans type = color
Quelle doit être la taille d'un code QR sur mon toit pour qu'un satellite puisse le scanner compte tenu de la résolution autorisée aujourd'hui?
Demandez l'autorisation [préfixe] [infixe] [suffixe]. Qu'est-ce que [tout]?
Dois-je ouvrir mon application si j'utilise des données API non modifiées sous licence CC-BY-SA 4.0
Kubernetes - Est-il possible de combiner Pod.yaml et Service.yaml dans un fichier yaml (mais sans déploiement)
Comment obtenir du texte spécifique appartenant à la classe div
La Cour suprême peut-elle déclarer une mise en accusation inconstitutionnelle? [dupliquer]
Principe de réflexion vs univers
Démontrer qu'une suite $\{a_n\}_n$Défini par $a_1=-\frac14$et $-a_{n+1}=\frac{a_na_{n+1}+4}4$est convergente et trouver sa limite.
Comment voir si un tableau a 2 éléments ou plus qui sont identiques? [dupliquer]
Pouvons-nous produire de l'électricité à partir des tempêtes de sable martiennes? Si oui, peut-il être utilisé pour alimenter les colonies?
Puzzle coulissant 3 x 2
Y a-t-il une position d'accouplement double forcée?
"Ils n'encourent pas de culpabilité et meurent"
Regex_search c++
Comment surveiller les limites de vitesse sur les routes à l'époque médiévale? [dupliquer]
«Quarante jours et quarante nuits»
Utilisation d'un mot hébreu inhabituel pour «brillé» dans Exodus
proxy nginx vers Tomcat avec SSL
Uranus pourrait-il avoir une surface solide en raison de sa composition interne et du manque de chaleur interne?
Étude de cas: que faut-il pour formuler et prouver l'argument du petit objet de Quillen dans ZFC?
Concernant un directeur de thèse refusant un étudiant en raison de problèmes de santé
Est-ce choquant de tuer mon personnage gay à la fin de mon livre?
Joomla Select à partir du groupement DB AND / OR
Groupe initial de dirigeants de Moïse Exode 18:21
" $\Sigma_1^1$-Peano arithmétique »- est-ce que ça cloue $\mathbb{N}$?
La lune a juste la bonne vitesse pour ne pas s'écraser sur la Terre ou s'échapper dans l'espace. Quelles sont les chances?
Quels sont les principaux obstacles à la mise en production de RL?
Peut-on caractériser les antichaines maximales en termes de réseaux distributifs?
Récupération de la valeur href d'un champ Lien de l'élément Lien dans scriban [duplicate]
Si le marinage détruit la vitamine C, en quoi la choucroute est-elle riche en vitamine C?
Regrouper la liste par éléments de la liste imbriquée [dupliquer]
5 techniques d'écriture créative qui mènent à des articles intéressants
5 techniques d'écriture créative qui mènent à des articles intéressants
Un chatbot pour le contrôle des actifs
Un chatbot pour le contrôle des actifs
Silence
Silence
Faire confiance à son premier instinct dans une relation est vital
Faire confiance à son premier instinct dans une relation est vital
Ce que nous construisons en 2020
Ce que nous construisons en 2020
Rendre les suppressions d'erreurs Flow plus spécifiques
Rendre les suppressions d'erreurs Flow plus spécifiques
Meilleurs langages de programmation pour les ingénieurs IA en 2020
Meilleurs langages de programmation pour les ingénieurs IA en 2020
Raisons de choisir PyTorch pour le Deep Learning
Raisons de choisir PyTorch pour le Deep Learning
Samantha Lazar
Samantha Lazar
Le tourbillon d'un an
Le tourbillon d'un an
L'invitation
L'invitation
Deux référentiels Python pour la visualisation de texte
Deux référentiels Python pour la visualisation de texte
En tirer le meilleur parti: conception UX d'applications hybrides
En tirer le meilleur parti: conception UX d'applications hybrides
Notification et alarmes dans Flutter
Notification et alarmes dans Flutter
6 choses que j'ai apprises de Brendon Burchard
6 choses que j'ai apprises de Brendon Burchard
Faites ce qui compte le plus pour vous d'ici midi
Faites ce qui compte le plus pour vous d'ici midi
Pourquoi vous ne devriez pas prendre les choses personnellement
Pourquoi vous ne devriez pas prendre les choses personnellement
5 choses en commun pour les plus performants
5 choses en commun pour les plus performants
Halloween sur le spectre
Halloween sur le spectre
Je suis un adulte autiste et je déteste Halloween
Je suis un adulte autiste et je déteste Halloween
Je n'aurais jamais pensé que j'accepterais la décence de George W. Bush
Je n'aurais jamais pensé que j'accepterais la décence de George W. Bush
L'émergence de la finance décentralisée
L'émergence de la finance décentralisée
Visualiser la croissance explosive de DeFi en 2020
Visualiser la croissance explosive de DeFi en 2020
Structures de données en JavaScript
Structures de données en JavaScript
ja/shares
es/shares
de/shares
fr/shares
th/shares
pt/shares
ru/shares
vi/shares
it/shares
ko/shares
tr/shares
id/shares
pl/shares
hi/shares
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved