Obrazek może być zupełnie nieszkodliwy.
1. Zamieszczam temat w "Komputerach" z hotlinkiem do obrazka. Zajrzysz
2. Wysyłam w PW linka do witryny w miarę uznanej, nie raportowanej.
3. Wiem, że to Ty zaglądasz, bo masz w cache obrazek - nie pobierasz go z mojego serwera.
4. Wyświetlam stronę spersonalizowaną. Niekoniecznie z exploitem. Może być np. treść mająca wywołać określone emocje, przygotowana pod Ciebie. Np. pornograficzny fotomontaż z twoim wizerunkiem.
5. Szukasz telefonu do admina tej strony. Owszem jest podany...
6. Spotykamy się. Morduję Ciebie
Przed tym, jak mówisz, SSL nie chroni.
Może stwarzać złudne poczucia bezpieczeństwa.
Aby całe forum objąć SSL należałoby skryptem usunąć hotlinki.
Scenariusz oczywiście nieco dziurawy, ale można go dopracować
btw nie wiem czy byłeś, ale z tego powodu na Onion Forum nie ma hotlinków.