外部からの直リンクを一切禁止にする(リファラ見て弾く)とユーザビリティが下がる。
直リンクを許容した上で、会員だけしか閲覧できないようにするには
ブラウザに食わせる認証クッキーを*.mixi.jpから参照できるようにするのが簡単な方法。
ただ、そうするとイレギュラー(？)なクッキーを食わせる事になるので認証のトランザクション処理がmixiのサーバで完結できず、ブラウザに依存するようになる。
そのクッキーを許容できないブラウザを切り捨てるとしても、仮に1%としても5万人超のユーザになるわけで簡単に切り捨てると決断するのは難しい(サービス開発者/提供者としての意地もあるだろうし)。

すっきりするのは認証機能を分離/集約してそこからの反応によってwebサーバの(ユーザに対する)応答内容を切り替えるようなシステムに変更することじゃないかな？

ようするに現状のネットワーク/論理構成では問題を解決しようとすると破綻するので"仕様"ってことで一つヨロシクって事。

このトピックのどっかで出てたmixiCTOの公演内容を鑑みるにスケーラビリティの追求に追われてそこらへんは手が回らないのかもしんないですね。

#今こそ上場益を使うタイミングじゃないのか・・・？

それはそれで、セキュリティソフトが満足にいじれない層から苦情が来そう。一部の製品はRefererをいじりますからね。

かといって、Refererが空のアクセスも許可すると、アドレスバーに直打ちで一発回避ですし。

> 素人考えですが、リファラがmixi.jpのみ許可とか

mixi内掲示板にその画像URLへのリンクがあったらどうなる？

ITmediaでは、リファラーで直アクセスを切ってます。