Se é "ok" ou não, depende de quão sensíveis são as imagens.
Se você não estiver usando SSL, os URLs, o HTML e as imagens serão armazenados em cache nos computadores dos usuários. Isso poderia vazar, mas eu consideraria improvável.
Barras de ferramentas de navegação, especialmente aquelas feitas por empresas que executam rastreadores, como Alexa e Netcraft, podem relatar URLs visitados de volta para seus sites-pai, prontos para o bot vir e rastrear mais tarde.
A autenticação adequada, como a autenticação HTTP ou uma variável POST, não deve ser armazenada em cache dessa maneira ou reportada de volta a qualquer site pai.
Outra técnica é usar URLs únicos e de curta duração. Dessa forma, mesmo se vazarem, isso não importa muito. É claro que você precisa continuar atualizando seus usuários legítimos dos novos URLs.