@restkhz 😆太客气了。
其实不用感觉怪怪的。IV 之类的机制，引入的主要目的就是在 密钥重用 的前提下，增加随机性，从而保证相同明文不会加密为相同密文，从而安全的在 密钥不变 的情况下通信。
所以，保证严格的一次一密，那这个大前提不存在了，自然问题就不存在了。密钥本身已经提供了足够的随机性，不再需要额外的机制保证随机性。
当然，目前并没有很好的方式去做这个一次一密，所以理论可行，但是不现实。

@cybort 这是楼主给的前提条件，我理解不在讨论范围内。

ECB 模式除外。常用的 CBC GCM 没问题。

@liuidetmks 条件是 AES 密钥只用一次，我理解你说的问题也不存在。

如果能做到严格的一次一密，密钥绝不重复，那没有问题。一次一密是最安全的方式。

@Hydrogen404 不可行，可能会被扫描出来。

大概率是 set_real_ip_from 的问题。刚好我也研究了这个问题。
set_real_ip_from 执行阶段在 allow deny 之前，所以 allow deny 拿到的实际是 set_real_ip_from 处理后的真实客户端 IP ，而不是 CF 的 IP 。
但是，set_real_ip_from 其实会保留原始 IP ，在变量 $realip_remote_addr 中。所以我们可以利用这个变量曲线救国。

先使用 geo 模块，给原始 IP 打标：
geo $realip_remote_addr $is_cf {
default 0;
# Cloudflare IPv4 Allow
173.245.48.0/20 1;
103.21.244.0/22 1;
103.22.200.0/22 1;
103.31.4.0/22 1;
141.101.64.0/18 1;
108.162.192.0/18 1;
190.93.240.0/20 1;
188.114.96.0/20 1;
197.234.240.0/22 1;
198.41.128.0/17 1;
162.158.0.0/15 1;
104.16.0.0/13 1;
104.24.0.0/14 1;
172.64.0.0/13 1;
131.0.72.0/22 1;

# Cloudflare IPv6 Allow
2400:cb00::/32 1;
2606:4700::/32 1;
2803:f800::/32 1;
2405:b500::/32 1;
2405:8100::/32 1;
2a06:98c0::/29 1;
2c0f:f248::/32 1;
}

然后在需要的地方，直接根据标记断连：
if ($is_cf = 0) {
return 444;
}

TailScale 自建 Derp 。
之前用了 ZeroTier 感觉效果不是很好，而且当时好像不能指定只用自己的中转，就换了 TailScale 。

@Livid 试了一下，目前改密码和开启 2FA 似乎都只需要密码，这个可能有点问题？如果密码泄漏了，那盗号者就可以直接改密码，开 2FA 。
好像一般情况下，2FA 开启之前，强制一个邮件验证码会更保险？印象中很多网站都是这么要求的。

PP 一直有这个问题，特别是有些自动付款，默认没得选必须用垃圾汇率。关联之后必须手动去改。
但是有些商家关联之后立刻会扣费，就会导致第一笔必垃圾汇率。

@yiqiu2324 4 足够了，2000MB/s 的读写速度绝大多数场景应该都能满足了，再高没必要了。

1T ，苹果 +1T 要 3000 性价比太低。单独买顶级 2T 固态加高端硬盘盒也就 2k 左右。

这是搞到了组织的管理账号？

你自己的图都写了 10 月 9 日，过了一个月了才发。。。
我还以为又翻倍了，吓死了。

SDR 能做到，但是可能有点刑？

之前这个功能还有个开关，iOS 18 之后，怎么开关都没了。

@testonly 说就说，别瞎黑。
转错不还在大陆属于不当得利。不仅要返还，故意拖延还要赔利息。
民法典 第九百八十七条
得利人知道或者应当知道取得的利益没有法律根据的，受损失的人可以请求得利人返还其取得的利益并依法赔偿损失。

旧闻了，多少年前就这样了。但是还可解。

关键字：WinRAR 商业版

搜这个，有很多网站跟官方更新。

@dunhanson 自己可以解是因为 OpenResty 用了 OpenSSL 的 https://docs.openssl.org/3.1/man3/EVP_BytesToKey/ 函数根据 Password 算出了 IV ，所以同一个 Password 算出的 Key 和 IV 是一样的，所以才能解密。

@forvvvv123 不一样。OP 在 Lua 没指定，自动生成了。但是在 Java 指定了，指定了全 0 。