Snake800

И даже на localhost? 😳

Неа. В зависимости от того, как заруливается маршрут в интернет. Через VPN может гнать даже роутер, вообще не оставляя выбора компу и хрому. Ну а хром делает тесты в реал-тайме через то соединение, которое ему дали.

Он похож на электронный аналог автоваза. Мировые автопроизводители тоже ушли, но ничего не поменялось.

Это в хроме.

Это они лично Невзорову сказали?

Ну раз это не какой-то банкиг, то я практически уверен, что плохих последствий не будет. В конце-концов, внедряют же в почтовых рассылках трэк-пиксели, вставляют изображения на форумы и ничего - все живы-здоровы. При самом плохом и практически неосуществимом сценарии, возможны действия с привелегиями юзера, посещающего страницу. Типа коммент там отправить, ну или какие там у него будут права. Но это прям околонулевые шансы и на сайте должны иметься другие уязвимости, чтоб так заэксплойтить.

Для полноты угроз, тут ещё не упомянали возможность отправки gzip-бомб. Но они в общем-то безобидные да и нафиг не нужны. Если баннер заказывает не конкурент, решивший сделать мелкую пакость (попытаться ухудшить ПФ).

Спецификация-с...

Ещё раз. Скрипт, подключенный через тэг <img>, не исполняется. Это довольно безопасно. Примерно, как малварь, просто лежащий в папке на компе сам по себе безопасен. Но браузеры могут исполнить svg файл, вернее, встроенный в него js. Конкретно по случаям - в Опере лет 10-15 назад долгое время была серьезная уязвимость, как раз связанная с загрузкой изображений. Детали не помню, это надо искать-вспоминать, но дыра была существенная. После этого, кстати, популярность браузера сильно упала.