aber das macht man auch nicht selbst sondern in dem Fall Google, das ist der Unterschied
So war es aber nicht (nur) gemeint
Auch ein extern eingebundenes Bild muss schlimmstenfalls getestet und aktualisiert werden, weil man es sich mit irgendeinem Update unfreiwillig zerstören oder verstecken könnte. Eine Rundumsorgloslösung gibt es dafür nicht.
So ganz kann ich Deinen Standpunkt bei diesem Thema nicht verstehen. Vor allem, da es um ein 2FA-Secret geht. Wir sprechen hier nicht über irgendwelche Emojis oder Wetterdaten, die extern eingebunden werden. Hier wird aktiv ein String, den definitiv nur zwei Seiten kennen sollen, an eine dritte Stelle weitergegeben. Was dort damit passiert liegt außerhalb des Einflussbereichs der beiden Parteien. Das ist nicht gerade der Sinn von 2FA, außer man verwendet SMS & Co. - da wäre es auch schon fast egal…