Вы меня не поняли
В акете пользователя аватор выводится самым обычным образом
<img src="URL который указан в профиле пользователя"/>
Вся проблема в том, что в навигации по форуму в анкеты(как и на все остальные странички) передается сессия.
Таким образом юзер Василий может указать в своем профиле путь к снифферу(а сниффер можно замаскировать под картинку) и юзер Нафанаил зайдя в анкету юзера Василия засветит снифферу свой идентификатор сессии.
Загружать аваторы пользователей к себе на сервер я не хочу, по-этому спрашиваю:
Можно ли отдавать картики через скрипт чтоб избежать вышеописаной опасности?
Надеюсь меня поняли
|