Probablemente haya una diferenciación entre aquí que está en riesgo.
Si todo lo que hace es almacenar URL y no cargar imágenes en su servidor, entonces su sitio es probablemente seguro, y cualquier riesgo potencial es para los usuarios que visitan su sitio.
En esencia, confía en la fiabilidad de los fabricantes de navegadores. Las cosas podrían estar bien, pero si surgiera un agujero de seguridad en algún navegador que usa uno de los usuarios que implique el análisis incorrecto de imágenes que contienen código malicioso, entonces serán sus usuarios quienes terminarán pagándolo (puede encontrar GIFAR interesante)
Todo depende de si confía en los fabricantes de navegadores para crear software seguro, y si confía en que sus usuarios no carguen URL a las imágenes que puedan contener explotaciones para ciertos navegadores. Lo que podría estar seguro ahora podría no ser seguro en la próxima versión.
¿Puedo preguntar cómo está revisando la extensión específicamente, y cuando dice que las cosas se pueden cambiar después de que se envía la URL, quiere decir con el usuario o usted? – Rhys
Seguramente por el usuario (propietario del servidor donde se almacena la imagen). No es tan difícil colocar un AddHandler en .htaccess y marcar .jpeg como ejecutable. Todos los sniffers web se hacen de esta manera – Noobie