<p>We're not concerned about hiding MD5 hashes in transit, nor about the centralised gravatar database. The issue is that the gravatar link containing the md5 hash is generated on the OSM server and sent to the browser as part of the user page. Even if that was https-only, it wouldn't keep someone from downloading 100.000 user pages and extracting the MD5 hashes. "libravatar" would only solve this issue if they supported salted hashes which they don't seem to do.</p>

<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br>Reply to this email directly or <a href='https://github.com/openstreetmap/openstreetmap-website/pull/519#issuecomment-27822255'>view it on GitHub</a>.<img src='https://github.com/notifications/beacon/uTRSc6ihLa7Shf84BpiOpoZKCjOH3sgXOGKK3M2zd05xI6Bj2809H2JHwx5rNJ3u.gif' height='1' width='1'></p>