наверняка именно 4ере3 куки. Влом проверять, но на 99 % в этом уверен. В куках записан ID, email, md5 hash пароля. пхп-скрипт проверяет id, если в друзьях, то разрешает просмотр. Если просто подменить id в куках на id друга жертвы, то все равно не посмотрите картинки, сверяется еще и хеш пароля... короче вас кинет на индексовую страницу после такого фокуса...