1998 war Adolphe Quetelet seit 124 Jahren tot, aber seine Formel regierte die Welt. Ein belgischer Astronom, der nie vorhatte, die Gesundheit Einzelner zu messen, hatte das erfunden, was wir heute BMI nennen; ein Verhältnis so grob, dass es Dwayne Johnson als fettleibig einstuft. NIST stand kurz davor zu erklären, dass die meisten Passwort-Komplexitätsregeln mehr schaden als nutzen. Und CSS war noch vier Jahre von border-radius entfernt. Drei völlig zusammenhanglose Fakten, außer dass sie einen gemeinsamen Faden teilen: die Kluft zwischen dem, was die Wissenschaft tatsächlich sagt, und dem, was wir am Ende in der Praxis tun.
Das hier ist ein Beitrag über diese Kluft. Über Formeln, die wir nutzen ohne sie zu hinterfragen, Sicherheitstheater, das wir als normal akzeptieren, und visuelles Design, das wir immer noch per Trial-and-Error betreiben. Nebenbei haben wir 12 browserbasierte Tools gebaut, mit denen du diese Ideen praktisch erkunden kannst. Alles läuft clientseitig; nichts verlässt deinen Rechner.
Dein Körper ist keine Tabellenkalkulation (aber die Mathe ist trotzdem nützlich)
Quetelet entwarf seinen Index in den 1830ern, um Bevölkerungen zu studieren, nicht Einzelpersonen. Die WHO hat ihn trotzdem übernommen, und jetzt benutzt ihn jede Arztpraxis der Welt als Screening-Abkürzung. Die Formel ist fast komisch simpel: Gewicht in Kilogramm geteilt durch Körpergröße in Metern zum Quadrat. Sie sagt dir nichts über Muskelmasse, Knochendichte oder wo dein Körper Fett speichert. Und trotzdem bleibt sie über große Bevölkerungen hinweg einer der besten Prädiktoren für metabolisches Risiko, die wir haben. Das Paradoxe daran ist, dass der BMI gleichzeitig zu grob für jede einzelne Person und zu nützlich zum Aufgeben ist. Wenn du sehen willst, wo du stehst und verstehen möchtest, was die Bereiche tatsächlich bedeuten, kannst du deinen hier berechnen.
Eine interessantere Zahl ist eine, von der die meisten Menschen noch nie gehört haben: dein Grundumsatz. Das ist die Energie, die dein Körper verbrennt, wenn er absolut nichts tut; atmen, Blut pumpen, Temperatur halten. Bei den meisten Erwachsenen macht das 60-75% des gesamten täglichen Kalorienverbrauchs aus. Die Mifflin-St-Jeor-Gleichung, veröffentlicht 1990, gilt immer noch als der genaueste Schätzer für gesunde Erwachsene und schlägt die ältere Harris-Benedict-Formel in Validierungsstudien um rund 5%. Die eigentliche Erkenntnis kommt, wenn du den Grundumsatz mit einem Aktivitätsfaktor multiplizierst, um deinen Gesamtenergieumsatz (TDEE) zu erhalten. Diese eine Zahl erklärt mehr über Gewichtszunahme und -abnahme als jedes Diätbuch. Du kannst die Berechnung durchführen und sehen, wie dramatisch sich die Zahl zwischen "sitzender Büroangestellter" und "trainiert 6 Tage die Woche" verschiebt.
Dann ist da die Flüssigkeitszufuhr, wo die gängige Weisheit ("8 Gläser am Tag") im Grunde keine wissenschaftliche Basis hat. Sie geht auf eine Empfehlung des U.S. Food and Nutrition Board von 1945 zurück, die aus dem Kontext gerissen wurde; der Originaltext merkte an, dass das meiste Wasser aus der Nahrung stammt. Die National Academies of Sciences haben evidenzbasierte Richtlinien veröffentlicht, die Körpergewicht, Aktivität und Klima berücksichtigen. Jemand, der in Phoenix Schwerstarbeit verrichtet, und jemand, der in Stockholm programmiert, brauchen sehr unterschiedliche Mengen Wasser. Wir haben einen personalisierten Rechner auf Basis dieser Richtlinien gebaut.
Das Passwort-Problem ist schlimmer als du denkst
Hier ist ein Fakt, der dich stören sollte: "P@ssw0rd!" besteht die Komplexitätsanforderungen der meisten Websites. Großbuchstabe, check. Zahl, check. Sonderzeichen, check. Acht Zeichen, check. Ein Angreifer mit einem bescheidenen GPU-Rig knackt es in Sekunden.
Das grundlegende Problem ist, dass wir Passwortstärke seit Jahrzehnten falsch messen. Traditionelle Regeln (muss Großbuchstaben, Kleinbuchstaben, Zahl, Sonderzeichen enthalten) optimieren für menschliche Unbequemlichkeit, nicht für kryptographischen Widerstand. Was tatsächlich zählt, ist Entropie; die Anzahl an Bits an Zufälligkeit in deinem Passwort. Eine 20 Zeichen lange Passphrase aus zufälligen geläufigen Wörtern hat deutlich mehr Entropie als "Tr0ub4dor&3", auch wenn sie einfacher aussieht. NIST SP 800-63B, veröffentlicht 2017, hat dies formell anerkannt, indem es empfahl, dass Systeme Passwörter gegen bekannte Breach-Datenbanken prüfen, anstatt willkürliche Komplexität zu erzwingen. Du kannst deine eigenen Passwörter testen und die Entropieberechnung sehen; die Schätzungen zur Knackdauer sind in der Regel ernüchternd.
Wo wir gerade bei Kryptographie sind: Jeder moderne Verschlüsselungsalgorithmus stammt konzeptionell von einem 2000 Jahre alten Trick ab. Julius Cäsar verschob jeden Buchstaben in seinen militärischen Nachrichten um drei Positionen; aus A wurde D, aus B wurde E. Sueton hat es dokumentiert. Die Chiffre ist heute trivial zu knacken (es gibt nur 25 mögliche Schlüssel), aber sie enthält die Kernidee hinter aller symmetrischen Verschlüsselung: eine umkehrbare Transformation, gesteuert durch einen geheimen Schlüssel. Wenn du noch nie wirklich mit einer gespielt hast, probier es aus. Ein paar Nachrichten zu ver- und entschlüsseln gibt dir eine Intuition dafür, wie Verschlüsselung funktioniert, die keine Lehrbucherklärung liefern kann.
Am anderen Ende des Spektrums steht Hashing, der Einbahnstraßen-Verwandte der Verschlüsselung. Eine Hash-Funktion nimmt beliebige Eingaben und erzeugt eine Ausgabe fester Größe, die praktisch unmöglich rückgängig zu machen ist. SHA-256, derselbe Algorithmus, der Bitcoins Blockchain und Gits Commit-Historie sichert, produziert einen komplett anderen 64-Zeichen-Hexadezimalstring, wenn du ein einziges Bit der Eingabe änderst. Diese Eigenschaft (genannt Lawineneffekt) macht Hashes nützlich für Dateiintegrität, Passwortspeicherung und inhaltsadressierbare Systeme. NIST empfiehlt SHA-256 oder höher für alles Sicherheitsrelevante. Du kannst für jeden Text Hashes generieren mit MD5, SHA-1, SHA-256 oder SHA-512 und den Lawineneffekt selbst beobachten.
Warum visuelle CSS-Eigenschaften immer noch ein Ratespiel sind
Hier ist etwas Seltsames an moderner Webentwicklung. Wir haben TypeScript, das Typfehler vor der Laufzeit abfängt. Wir haben Linter, die Code-Stil automatisch erzwingen. Aber bei visuellen CSS-Eigenschaften wie border-radius, box-shadow und Verläufen tippen wir immer noch Zahlen, speichern, laden neu, kneifen die Augen zusammen und tippen andere Zahlen. Es ist der manuellste Teil eines ansonsten zunehmend automatisierten Workflows.
Nimm border-radius. Die meisten Entwickler wissen, dass es Ecken abrundet. Weniger wissen, dass es die Schrägstrich-Notation (border-radius: 10px 30px 50px 10px / 20px 40px) unterstützt, die asymmetrische, organische Formen erzeugt. Versuch mal, diese Werte in den DevTools zu erraten. Es geht nicht. Das menschliche Gehirn ist nicht darauf ausgelegt, acht Zahlen auf eine 2D-Form abzubilden. Ein visueller Editor, in dem du Ecken ziehst und das Ergebnis siehst, ist keine Annehmlichkeit; es ist die einzige vernünftige Art, den vollen Umfang der Eigenschaft zu erkunden.
Schatten sind noch schlimmer. Material Designs Elevationssystem schichtet mehrere Schatten mit unterschiedlichen Versätzen, Unschärfen und Deckkraftwerten, um realistische Tiefe zu simulieren. Eine einzelne Card-Komponente in Material UI nutzt drei gestapelte box-shadow-Werte. Das per Hand richtig hinzubekommen ist wie Farben mischen, indem man Hex-Codes liest; technisch möglich, praktisch absurd. Ein geschichteter Schatten-Editor mit Echtzeit-Vorschau macht den Unterschied zwischen "dieser Schatten sieht komisch aus" und "dieser Schatten sieht aus wie ein physisches Objekt."
CSS-Verläufe sind die am wenigsten genutzten der drei. Lineare Verläufe sind überall. Radiale Verläufe tauchen gelegentlich auf. Aber konische Verläufe, spezifiziert in der CSS Images Level 3 Spezifikation, bleiben nahezu unbekannt, obwohl sie in jedem modernen Browser unterstützt werden. Sie können Kreisdiagramme, Farbräder und kreisförmige Übergänge erzeugen; ohne eine einzige Zeile JavaScript oder SVG. Alle drei Verlaufstypen in einem Editor zu haben, offenbart Kombinationen, an die die meisten Entwickler nie denken.
Die versteckten Kosten von Geräten, die eingesteckt bleiben
Ein kurzer Abstecher in die Energiewirtschaft. Der durchschnittliche deutsche Haushalt gibt rund 1.200 bis 1.500 € pro Jahr für Strom aus, und die meisten Leute haben keine Ahnung, welche Geräte dafür verantwortlich sind. Ein 2000-W-Heizlüfter, der 8 Stunden am Tag läuft, kostet bei durchschnittlichen deutschen Tarifen grob 40-55 € pro Monat. Ein Gaming-PC, der 24/7 läuft, kann 25-35 € draufpacken. Selbst eine einzelne Glühbirne, die durch eine LED ersetzt wird, spart rund 10 € pro Jahr.
Die Rechnung ist simpel: Watt mal Stunden mal Preis pro kWh. Aber es für jedes Gerät im Haushalt durchzurechnen ist mühsam genug, dass es fast niemand tut. Wir haben einen Stromkosten-Rechner gebaut, der es täglich, wöchentlich, monatlich und jährlich aufschlüsselt. Die Ergebnisse ändern tendenziell das Verhalten.
Zwei weitere Alltagstools, weil sich die kleinen Reibungsverluste summieren. Die 4.0 GPA-Skala ist typisch amerikanisch und für internationale Studierende einzigartig verwirrend; gewichtete Credits, Notenumrechnungen und unterschiedliche Skalen in verschiedenen Ländern machen aus einem einfachen Durchschnitt eine Kopfschmerzaufgabe. Und eine Restaurantrechnung aufzuteilen (Trinkgeld-Rechner) sollte keine Gruppendiskussion erfordern; besonders wenn die Trinkgeldnormen zwischen Ländern stark variieren (15% in den USA, 0% in Japan, Service-Pauschale in Frankreich).
Ein Wort zur Privatsphäre
Jedes hier genannte Tool läuft vollständig in deinem Browser mit der Web Crypto API und Standard-JavaScript. Keine Server-Aufrufe, kein Analytics auf deine Eingaben, keine Accounts. Deine Passwörter, Gesundheitsdaten und CSS-Experimente bleiben auf deinem Rechner. Das ist kein Feature, das wir hervorheben; es ist die einzige Art, wie diese Tools funktionieren sollten. Die Tatsache, dass die meisten Alternativen verlangen, dass du sensible Daten an einen Server schickst, um eine einfache Berechnung durchzuführen; das ist die eigentliche Geschichte.