Se copio l'URL per un'immagine condivisa o privata da siti come fbcdn.net o googleusercontent.com e lo apro in una sessione disconnessa, vengono visualizzate le immagini.
Non restituisci questo errore 403 vietato (come Dropbox) invece di consentire a un utente malintenzionato di accedere a contenuti privati?
Si tratta di sicurezza basata sulle funzionalità ed è una buona opzione quando si dispone di contenuti condivisi altamente distribuiti .
A tutti gli utenti che richiedono l'accesso viene assegnato un URL univoco equivalente a un token.
Lo svantaggio è che se il "token" è trapelato gli utenti non autorizzati saranno autorizzati ad accedere al contenuto, ma l'ambito può essere limitato scadendo i token, e in ogni caso è usato solo per contenuti semipubblici.
Inoltre, per i contenuti dei social network come le immagini i meccanismi attraverso i quali i token possono essere trapelati sono gli stessi meccanismi con cui le immagini stesse possono. Il token non è ipotetico (o almeno non dovrebbe essere)
Credo che la risposta qui è ufficiale di Facebook.
Leggi altre domande sui tag http google facebook google-apps web-application