Ответ на пост «Ваши личные фотографии в общем доступе!»⁠⁠16

авторизация в самом адресе ссылки - только тот кто знает этот адрес сможет ее открыть

Проблемы действительно нет, они хорошо все решили. Вот только ты пишешь опять полную ерунду: если я у тебя есть в контактах, я могу иметь доступ к любым твоим фото или что? А если ты фотку в чат на 100к человек скинул, то кто там у кого в контактах? Ну и что по остальным пунктам-то?

Я не хочу защищать Макс и не знаю, как сделано в телеге, но неподбираемая ссылка - абсолютно нормальная практика, все перечисленные утечки таковыми не являются.

переслали не туда

Ну дак это сам виноват, если ты переслал не туда, то картинка уже утекла. Кстати, как ты себе представляешь защиту - для каждой картинки хранить список всех пользователей, кто может ее видеть? Серьезно? UPD: в телеге элегантно решено это, да

попала в историю/скрин

В какую историю? В какой скрин? Ссылка из потрохов Макса попала в скрин? Серьезно?

В логи прокси/антивируса

Насчёт антивируса не знаю, но вообще при SSL если не влезать в сам запрос, никто не видит конечный ресурс и заголовки, только хост. Если же есть внедрение сертификата, то тут уж весь твой трафик читается.

превью-боты

Превью-боты берут ссылку на сайт и читают ее содержимое, каким местом тут фотка твоя?

Referer

Что referrer? В каком случае в referrer будет ссылка на твою фотку?

Без входа/проверки прав

Я, кстати, прочитал, как в телеге сделано, прикольно весьма и безопаснее. Но, кажется, что тут все равно не к месту паранойя.

Не так.
Аутентификация устанавлиает КТО хочет получить доступ. Это и есть идентификация.
Авторизация проводится после успешной аутентификации и устанавливает К ЧЕМУ будет дан доступ.

Доступ контролируем - только тот, кто знает адрес ссылки, сможет на нее зайти. Сама ссылка обеспечивает и аутентификацию и авторизацию.

Там всего то "Всего возможно 62в43степени комбинаций, что приблизительно равно 1.35×10в77степени (число с 77 нулями)" то есть перебором найти хоть что то при текущих производственных фактический нулевой. А найти что то ценное - нулевой. 100% моих фото в MAX - фото счетчиков и хреновой уборки для чата с УК.