Приходит на ум сохранение в временную переменную event.target при touchstart и последующее сравнение с event.target при touchend. Но это теория, надо проверять на практике. Также стоит проверить stopPropagation.
Все зависит от того каким образом организованы эти права. У меня к примеру, права по группам. Индекс содержит атрибут sql_attr_multi = bigint usergroups from field. -1 все пользователи, далее группы: 0 анреги, 1, 2… Ну и потом ставлю фильтр при поиске [-1, curent_user_group].
Видимо ниже идут правила для статики, туда и попадает ваше запрос с jpg. location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar|swf)$ {...}
Обязательно привязывать сессию к IP. Для аутентификации черех куки, нужно как имя пользователя/ID так и какой-либо хэш (может быть и хэш пароля). Можно конечно для куки тоже делать хэш на базе IP, но при смене IP нужна будет аутентификация. Автоматический вход на сайт это всегда брешь в безопасности. Я для себя эту проблему решил так: если пользователь вошел через куку, то на защищенных страницах просим повторно ввести пароль.
Я использую у себя такой алгоритм: строку кодирую в base64, потом использую две строки с перемешанными символами A-Za-z0-9+/=. В кодированной строке заменяю символы из первой строки на соответствующею позицию во второй строке. Алгоритм простой, возможно тут что-то похожее.
Еще в base64 нет символов _- обычно для передачи в http запросах используют -_~ вместо +/=. Судя по строкам там заменили только + и /.
Что-то похожее было из-за смешивания разных версий в разных репах. Помню решал отключением проблемных репов. Посмотрите что выдает yum на serach elfutils-devel и info elfutils-devel ну и других проблемных пакетов.
