静态加密：究竟是谁的威胁模型？ (scottarc.blog)

本文探讨了Web应用和云服务中静态数据的加密问题，特别是客户端加密的安全性。作者指出，即使使用强加密和密钥管理，如果应用程序不认证访问模式，攻击者仍然可以通过简单的复制粘贴攻击来解密数据。作者以自身开发的CipherSweet库为例，详细解释了如何通过绑定上下文来 mitigateriskover the years of maintaining an open source library. 作者呼吁开发者关注静态加密的细微差别，了解常见的攻击方式，并仔细思考应用程序的威胁模型。