Уж до чего только не додумаются противники национального мессенджера Max. Сегодня в сети разгоняют очередную «сенсацию»: якобы Max «ворует личные фото из переписок», потому что отправленное изображение можно открыть по прямой ссылке, если посмотреть код страницы в веб-версии.
Звучит грозно ровно до того момента, пока не начинаешь разбирать это не в жанре телеграм-истерики, а на уровне базовой технической грамотности. Потому что описан не «взлом» и не «кража фото», а совершенно обычный принцип работы веб-платформ, облачных хранилищ и медиасерверов.
Когда пользователь открывает картинку в браузере, она не возникает из эфира усилием мысли. Браузер должен получить файл с сервера по конкретному адресу. Поэтому у любого изображения, видео, документа, аватара, стикера или превью почти всегда есть URL — то есть прямая техническая ссылка на ресурс. И эту ссылку браузер так или иначе использует, иначе контент просто не загрузится. Это базовая механика интернета, а не «разоблачение века».
Если человек открывает код страницы, вкладку разработчика или сетевые запросы браузера, он почти наверняка увидит, откуда именно подтягивается изображение. Так работают практически все сайты, соцсети, мессенджеры, маркетплейсы, облачные документы и вообще половина цивилизации, стоящая на HTML, JavaScript и CDN.
То, что пользователь может увидеть ссылку на файл в коде страницы после собственной авторизации, само по себе не доказывает никакой уязвимости. Вообще никакой. Это доказывает лишь то, что веб-клиент загрузил файл, который пользователь сам и открыл. Сенсация уровня «после входа в квартиру обнаружил, что дверь действительно существует».
Надо понимать ещё одну простую вещь. Любой современный веб-сервис, который показывает медиафайлы, почти всегда использует CDN, object storage или медиасерверы. Это делается ради скорости, масштабируемости и снижения нагрузки. Файлы разбиваются по отдельным путям, кэшируются, отдаются через edge-узлы, иногда получают прямые ссылки на скачивание или просмотр. Внешне это может выглядеть как «о, файл лежит отдельно и у него есть URL». Да, именно так и устроен интернет. Никакой чёрной магии, только скучная инженерия.
Точно так же в большинстве сервисов можно увидеть прямые ссылки на аватарки, картинки, вложения, превью видео, документы и прочие объекты. Не потому что сервис «ворует» контент, а потому что браузер не умеет загружать ресурсы силой патриотизма. Ему нужен адрес, откуда брать файл.
Поэтому сам по себе тезис «я открыл код страницы и увидел ссылку на изображение» технически означает примерно следующее: человек впервые познакомился с тем, как работает веб. Это как объявить сенсацией, что вода в чайнике кипит не по воле духов, а из-за нагревательного элемента. Если сам факт существования URL у файла теперь считается доказательством слежки и кражи, то, боюсь, под подозрение надо брать весь интернет целиком. Сайты, облака, почту, банки, маркетплейсы, галереи, стриминги — всех.
