недавно видел статью, в которой парень описывал баг в чате, графические файлы в нем были исполняемыми. Соответственно был написан скрипт, который тырил данные авторизации в системе. Сейчас уже пофиксили (картинки нельзя вставлять туда теперь ), но сам факт говорит о его ненадежности