> gravatar.com используется как площадка для загрузки аватара или показа уже загруженных
> для wordpress аватаров.

Не только загруженных, граватар вернет identicon картинку даже если хозяин емайла никогда не загружал туда никакие картинки, но граватар будет исправно следить за премещениями емайла по интернету, а хозяин емайла об этом даже не будет знать...

curl http://gravatar.com/avatar/$(echo 'vasya.pupkin@mail.ru' | md5sum | awk '{print $1}')?size=64&d=identicon

И Вася даже не будет знать, что мы его только что - "сдали"

>Никто вас не заставляет там регистрировать свой email и что-то загружать.

Получается некоторое разногласие с тем, что вы говорите здесь и тем что написано на странице регистрации профиля, а именно:

"Внимание ! Для загрузки аватара используется сервис gravatar.com, в котором производится привязка аватара к email." != "Никто вас не заставляет там регистрировать свой email и что-то загружать."

Если Вы не будете отсылать граватару хэши емэйлов пользователей opennet.ru, то каким тогда образом граватар будет возвращать аватары?
Если же вы не запрашиваете граватар, то что тогда подразумевает: "Внимание ! Для загрузки аватара используется сервис gravatar.com, в котором производится привязка аватара к email."

> На страницах форума и под новостями аватары отдаются
> с сервера opennet, никаких обращений каждый раз к  gravatar.com нет.

Так на каких тогда страницах opennet.ru используется граватар?

Вы не могли бы тогда пояснить, для чего тогда это предупреждение на странице регистрации и как тогда вообще используется gravatar.com, если вы не запрашиваете с него аватары?

И это не важно, как технически запрашивается аватар, то ли сервер opennet.ru дергает gravatar.com или же это запрашивается браузером пользователя используя JS запрос, разгружая opennet.ru сервер. В конечном итоге hash емайлa должен быть предоставлен gravatar.com чтобы получить картинку.

> На самом деле с привязкой показа аватаров к email есть более серьезная
> проблема - на современном оборудовании по хэшу не проблема определить email
> методом перебора.

Именно, если еще учесть, что большинство народа будет иметь емэйл с популярными халявными доменами типа  gmail.com, yahoo.com, mail.ru... то останется брутфорсить только то, что перед @, что не так уж и страшно для большинства емэйлов благо народ использует словарные слова. Добавте сюда еще емэйлы слитые в даркнет, которые даже брутфорсить не надо и доступные не только хакерам, а так же всем, кто умеет делать из это деньги

> В этом основная проблема, а не в том, что кто-то будет следить за пользователем.

gravatar.com создан исключительно для data minig, а не с целью повесить расходы на содержание серверов, которые за "красивые глаза" будут хостить email=>image базу данных.
Или Вы правда думете что комунизм наступил и ребята с Automattic работают в убыток ?

Хэш емэйла - однозначный идентификатор пользователя, а это в нынешим, рехнувшемся на бигдате мире - как масло на хлеб...

> Но аватары на opennet необязательная опция
> для тех, кто без них не может обходиться и готов пожертвовать
> некоторым послаблением в приватности.

Я правда, или торможу или что-то не согласуется с вашим обьяснением :(
То вы говорите, что аватары отдаются непосредственно с opennet.ru сервака, то Вы используете сторонний сервер gravatar.com согласно официальному предупреждению: "Внимание ! Для загрузки аватара используется сервис gravatar.com, в котором производится привязка аватара к email."

Я извиняюсь за занудство, но не могли бы Вы официально обьяснить, где и как используется граватар на opennet.ru? Потому как, по моим наблюдениям, обычно, все кто использует сервис граватара, используют следующую логику: загружена картинка локально на сервере, то использовать ее, иначе послать хэш емэйла на граватар