Ответ на пост «Ваши личные фотографии в общем доступе!»⁠⁠16

Я не хочу защищать Макс и не знаю, как сделано в телеге, но неподбираемая ссылка - абсолютно нормальная практика, все перечисленные утечки таковыми не являются.

переслали не туда

Ну дак это сам виноват, если ты переслал не туда, то картинка уже утекла. Кстати, как ты себе представляешь защиту - для каждой картинки хранить список всех пользователей, кто может ее видеть? Серьезно? UPD: в телеге элегантно решено это, да

попала в историю/скрин

В какую историю? В какой скрин? Ссылка из потрохов Макса попала в скрин? Серьезно?

В логи прокси/антивируса

Насчёт антивируса не знаю, но вообще при SSL если не влезать в сам запрос, никто не видит конечный ресурс и заголовки, только хост. Если же есть внедрение сертификата, то тут уж весь твой трафик читается.

превью-боты

Превью-боты берут ссылку на сайт и читают ее содержимое, каким местом тут фотка твоя?

Referer

Что referrer? В каком случае в referrer будет ссылка на твою фотку?

Без входа/проверки прав

Я, кстати, прочитал, как в телеге сделано, прикольно весьма и безопаснее. Но, кажется, что тут все равно не к месту паранойя.

Если там есть bearer-token, значит есть и авторизация. Попробуйте разлогиниться в Максе и ещё раз открыть ссылку, мб он инвалидирует выданный токен.