¿Por qué las empresas como Facebook no requieren solicitudes HTTP / HTTPS autenticadas para acceder al contenido (como imágenes) mediante CDN?
De alguna manera, una vez que un "amigo" puede acceder a la URL de la imagen, él / ella puede publicar efectivamente esa URL al mundo, permitiendo el acceso anónimo. Esto es literalmente "seguridad a través de la oscuridad", ya que solo se basa en la URL que consiste en un fbID (similar a UUID) que es secreto. Creo que Facebook llama a esto un modelo de seguridad basado en capacidad, pero ¿no tendría sentido vincular las direcciones URL a los usuarios particulares para tener atribución, así como emplear algún tipo de rotación periódica de URL / fbID?