Snake800

Ещё раз. Скрипт, подключенный через тэг <img>, не исполняется. Это довольно безопасно. Примерно, как малварь, просто лежащий в папке на компе сам по себе безопасен. Но браузеры могут исполнить svg файл, вернее, встроенный в него js. Конкретно по случаям - в Опере лет 10-15 назад долгое время была серьезная уязвимость, как раз связанная с загрузкой изображений. Детали не помню, это надо искать-вспоминать, но дыра была существенная. После этого, кстати, популярность браузера сильно упала.

Для пенсии может быть и нормально. Но, насколько понимаю, по австралийским меркам это немного. Жизнь в Австралии вроде не дешёвая.

Скорее всего, да. Это же http протокол и "обычные пароли". Тут единственный вариант хранить и сверять дополнительные отпечатки: юзерагент, ip и другие общедостуные сведения. Хотя и это не панацея.

Мелкомягкие и их последователи делают именно так (.net Identity). В куке под RSA256 вся информация о юзере: логин, права и т.п. Выглядит немного пугающе, но на самом деле довольно надёжно: без приватного ключа не подделать. Плюс expiration tokens. Есть вариация с session id под тем же rsa. Она, как мне видится, чуть более безопасна и меньше в обёме, но малость напрягает сервер.

У группы Каста, когда-то в прошлой жизни, на этот счёт были такие строки:

/"На порядок выше", 2002г./

Хоть на сайт папы римского. При завершении факта нарушения АП нотариусом этот аспект не учитывается.

В данном конкретном случае это разновидность рефспама от одного очень странного чела через прямые отправки запросов на url'ы метрики. Дыра давняя. Другой вопрос, крутят ли через неё ПФ и насколько эффективно?

Там ещё за август может что-нибудь упадёт.