Si copio la URL de una imagen compartida o privada de sitios como fbcdn.net o googleusercontent.com y la abro en una sesión de cierre de sesión, aparecerán las imágenes.
¿No debería esto devolver un error 403 prohibido (como Dropbox) en lugar de dar a un usuario malicioso acceso a contenido privado?
Esto se llama seguridad basada en capacidades y es una buena opción cuando tiene contenido compartido altamente distribuido. .
Todos los usuarios que requieren acceso reciben una URL única que es equivalente a un token.
El inconveniente es que si se filtra el "token", los usuarios no autorizados podrán acceder al contenido, pero el alcance se puede limitar al caducar los tokens, y en cualquier caso se usa solo para contenido semipúblico.
También, para el contenido de redes sociales como imágenes, los mecanismos por los cuales se pueden filtrar los tokens son los mismos mecanismos por los que las propias imágenes pueden. El token no es adivinable (o al menos no debería serlo)
Creo que la respuesta aquí es oficial por Facebook.
Lea otras preguntas en las etiquetas web-application google google-apps http facebook