drymonfidelia

无拆无修。要说有什么问题的话，喇叭总感觉一边声音大一边声音小，不过没测量过。另外用力晃动会有零件撞击的声音，总感觉里面什么东西断掉了的样子，但是 Google 搜了下好像是通病

@xuanbg 网络传输的时候可能出的情况太多了，被中间人、CDN 篡改之类的，客户端能根据链接直接判断文件是否被篡改，不然数据模型除了 id 外还要单独加个 hash 字段
@geelaw 为什么用 XOR 加盐是很糟糕的设计？是简单的 salt 可能会导致加盐之后的原文被碰撞出来吗，直接拼接好像也存在这个问题，例如弱密码场景盐 123456 原文 aaabbb ，拼接后的 123456aaabbb 一样随便一个免费彩虹表都能查出来。在这个场景下，123456 xor aaabbb = PSRVWT 熵更高，如果再加长一点就不会出现在彩虹表
@mhycy
@laminux29 为什么这么多人提到要把文件大小加入 hash 计算呢？ SHA256 是可以长度扩展计算的，如果要故意碰撞，只要随机最后一块就可以，按我的理解碰撞大文件和小文件的难度是一样的，不知道我的理解对不对

@my3157 另外随机文件名的场景也不太适合用 UUID 吧，case insensitive 的文件名可以[0-9a-z]，UUID 只使用了[0-9a-f]有点浪费空间，用 UUID 的话要再 base32 编码一下，直接随机[0-9a-z]会不会更合适

@my3157 想去重同时还可以通过文件名直接校验文件完整性

总共有关联 6 个问题，没找到答案，于是想一起问。
1. 对于>256 字节的文件，对全文和尾部 128 位字节分别进行 xxHash3-128 然后拼接得到 256bit 散列和 SHA256 一次得到的 256bit 哪个更抗碰撞？
2. 用于命名用户上传的文件，另外加盐用拼接还是 XOR 方式更好？
3. 如果拼接的话，拼接在开头是不是要把原文 byte[]复制一遍，影响性能？
4. 我知道应用于签名场景的话不能拼接在末尾，因为 SHA256 可以向末尾追加块，但是应用于标题这个场景是否安全（会增加暴露盐值让 hash 值可预测）？
5. 如果通过将原文头部和盐 XOR 运算效果会不会更好？
6. xxHash3 的 seed 可以代替盐吗？

@Livid #28 用户多次粘贴 AI 回复

@forisra 你的 12371 是把偷自行车那些都算进去的，我简单查了下日本警察厅的数据，2023 年全年的杀人案件为 912 起，抢劫案为 1361 起。

@mikewang AltStore 属于第三方工具，而且好像不太适合签自己的项目（不过应该可以借鉴下原理）
我记得 AltStore 好像是闭源的，没想到开源了