In questi giorni è possibile hash un file sul lato client, inviare l'hash al server e fare in modo che il server verifichi se quel file è già caricato. Se lo è, possiamo saltare il caricamento del file e farlo sembrare caricare quasi istantaneamente all'utente. Questo può anche risparmiare un sacco di larghezza di banda per un sito di grandi dimensioni.
Ciò ha tuttavia alcune importanti implicazioni sulla sicurezza.
-
Se l'utente è intelligente, può utilizzare queste informazioni per determinare quali file sono già presenti sul server, inclusi documenti illegali o riservati
-
Può produrre milioni di hash finti, inviarli al server e sperare in una collisione per accedere a documenti casuali
-
C'è una collisione legittima ma non intenzionale in cui gli hash sono uguali, ma il file è in realtà diverso
La mia domanda è: ne vale la pena? Possiamo mitigare alcuni o tutti questi problemi? Come?