Hallo Alexander,
stimmt, das sind alles Dinge, an die ich in dem Augenblick nicht gedacht habe. Sicherlich gibt es noch eine Möglichkeit, die auch die gefälschten Referer noch durchläßt, bloß rechnet sich irgendwann der Aufwand für eine Geschichte, die in zehn Tagen sowieso gelaufen ist, nicht mehr...
Wenn ein Schriftzug auf den Bildern verewigt werden soll, dann würde ich den eigenen Nutzernamen benutzen ("Auktion von xyz"). Das fällt noch eher auf als irgendeine Domain, die auch dem Traffic-Klauer gehören könnte.
Viele Grüße
Carsten
PS:
Punkt 2: HTTP_REFERER kann [...] unterdrückt werden
Schon klar, deswegen prüft ja die erste RewriteCond, ob es überhaupt einen Referer gibt:
RewriteCond %{HTTP_REFERER} !^$
(oder habe ich diese Zeile jetzt falsch verstanden?)