La maggior parte dei crawler automatici non ha il tempo di rispettare le procedure di registrazione di tutti i siti Web. Se i nomi delle immagini non sono "ipotizzabili", allora non verranno raccolti dai crawler che eseguono la scansione di "tutto il Web". Tuttavia, naturalmente, qualsiasi utente registrato che può vedere le immagini sarà in grado di borseggiarle tutte (e non solo le immagini, anche tutte le pagine Web). Il noto strumento opensource GNU Wget ha i flag della riga di comando per l'esplorazione ricorsiva delle pagine Web.
Si noti che il server può sapere, per costruzione, chi sta effettuando ogni richiesta (questo è ciò che significa che un utente è "connesso"). È quindi possibile implementare regole restrittive come "non più di 10 immagini per utente e per minuto" o vincoli simili. Con tali regole, un utente deciso a scaricare tutti i tuoi file dovrà creare molti account falsi, registrarli tutti e usarli più o meno in parallelo. Puoi anche filtrare sull'indirizzo IP di origine (se troppe richieste provengono da un singolo indirizzo IP in breve tempo, bannare temporaneamente quell'indirizzo).
Tutti questi deterrenti sono proprio questo: modi per rendere il compito più lento e più difficile per gli aggressori (se chiamiamo le persone che vogliono le immagini "attaccanti", che è soggettivo). Gli autori di attacchi motivati li otterranno comunque.
In generale, quando pubblichi un dato, diventa "pubblico" e non puoi controllare realmente dove va. Questo è il dilemma di tutti i fornitori di contenuti multimediali: una volta che il file musicale è fuori, è fuori.