Ещё один бред. Даже пробовать не буду. Яваскрипты удаляются из писем даже с более примитивных сайтах. Ребята, может вы просто приаритесь, а я мешаю ??? А?

Ой, да ладно. То, что explorer пиарится - это ессно. Его право. Ничего плохого в том нет. И верить/пользоваться его скриптами необязательно: ставишь свой сниффер и проверяешь тему на своём тут же заведённом ящике, это всё дело пяти минут. Примитив же, ёптить. Работает. Причём работает судя по всему уже с мая месяца сего года если погуглить предысторию вопроса, а то и раньше.

Ну.... этож всё неправда просто. Да ладно, пусть как хотят.

Сергей, извините, я с местным киддис-клубом-то и не знаком и не то вообще здесь имел ввиду. Там есть возможность отправить свою открытку, в том смысле что из своего источника. Не знаю считать ли это уязвимостью. =)

Как раз открытие img и jpg различается даже в пределах одного браузера, не говоря уже о FF сравнимо с IE и Opera. У меня на работе например такая программа как WinImage установлена, она ессно все img под себя забиндила. Вопрос киддису на засыпку раз: как себя поведёт IE и как FF при нажатии на вашу любимую ссылку и почему. Вопрос киддису на засыпку два: что за формат такой графический: img и какое имеет отношение к raw. И вопрос киддису на засыпку три: через какое время кидис одержимый любопытством получит в репу и/или условно? )))

Да нет, вы уж как-нибудь сами RTFM по Live HTTP для Firefox и RFC2068 сделайте. Знать где искать - уже половина решения. Где - я сказал. )

Браузер, это движок, который выполняет ваш яваскрипт
и отсылает куки в теле запроса к картинке. В принципе не обязательно перенаправлять это на ваш указанный сайт. Можно создать свой сайт на бесплатном хостинге, где можно писать что то на яве или ПШП, чтобы не чернить нормальный домен, и считать эти данные. Это программа в одну строчку.

Даже если Вы скачали куки маилру, даже если не скачивали, а у вас есть свои собственные, просто проведите занимательный эксперимент. Закройте браузер (вкладку, если это Опера или ФФ), и откройте сразу же по новому (заметьте, на сервере за это время даже не убилась сессия), а ваши куки все на месте. И что??? Чудеса на виражах!!! Вы снова увидите форму входа, где надо вводить логин и пароль по новому.

А захочет ли браузер выполнять скрипт внутри картинки? Я вообще то несколько лет занимаюсь разработкой сайтов типа web-mail и блоги, поэтому данная тема вызвала интерес, несмотря на то, что автор ничего в этом не смыслит Хочу Вас утешить, что несмотря на то, что уровень моих сайтов пониже чем маилру, но вы никогда не сможете загрузить на сервер или сохранить в почте картинку, которая по сути не картинка. Для этого люди парят мозги и ставят проверки. Но даже если в маилру по запарке об этом забыли. Я не уверен, что какой нибудь из современных браузеров не имеет подобных проверок и кинется выполнять указанный скрипт.

Так что теперь действительно всё понятно.

Ну дык и не тратьте время. Кидес - дурак, но он практик. А практика с которой носится explorer заключается в том, что вы в вашем примере меняете на . Если получатель дурак, у него стоит IE (даже IE7), то дурак на другом конце получит куки (область видимости ограничена url) хоть mail.ru, хоть чёрта в ступе. Mail.ru в свои кучу кук не закладывает привязок по ip и т.д., соответственно два идиота с одинаковыми куками на разных концах планеты будут лазить по одному и тому же ящику пока один из них не нажмёт Выход (а если не нажмёт, то до окончания срока действия куков сутки). Наши дорогие кидисы пужаются вопросов что будет если у файла с расширением img (jpg зависит от приложения по умолчанию, а img точно никто не менял) поменять расширение на скажем sec. А всё очень просто: в этом случае теги script в теле станут xscript и соответственно никуда вы не пойдёте. Только то что этот скрипт вообще не сильно нужен они не догоняют: как прибили так и держится. ))

Куки за пределами домена невозможно прочитать - это означает, что мы не можем находясь на сайте mail.ru оперировать куками сайта ya.ru где были до этого. Всё так. Но это не мешает нам вывести пользователю эти куки скажем через alert. Точно также мы можем их грубо говоря вывести наружу и не пользователю. И только того домена в контексте которого отработал скрипт (ограничение области видимости). Иначе катастрофа была бы действительно вселенской.

Проблеме в обед сто лет и решается она занесением в куки таких данных как ip, mac-адрес, разрешение экрана отлично забираемые через DOM и отдаваемые на сторону сервера где их и сличают. Злоумышленик в таком случае не сможет подделать окружение оригинального пользователя, ведь как составить, да заксорить/захэшировать потом куки - дело программиста. Всё это хорошо пока дело не касается масс-медиа. Такого как mail.ru. Тут-то и оказывается что привязка по ip который вообще-то может быть принадлежать прокси не лучший выход для сервиса.

Да, и есть ещё одно хорошее решение: не пользоваться куками (комментарии за скобками =).


Так и есть. Посмотрите как реализованы переходы наружу ВКонтакте, там есть спецстраница "Если вы нажали на эту ссылку - мы снимаем с себя всякую ответственность". Вы встречаетесь с этой спецстраницей всякий раз как только попытаетесь перейти с сайта ВКонтакте на любой другой сайт. Очень грамотно.

Он сработает без всяких вопросов в IE7 и с дополнительным запросом в Firefox 3.0.5. Просто запишите в текстовый файл, поменяйте расширение на img и откройте получившийся файл в браузере. Такое открытие и есть цель всех плясок с бубном. Как видите, вполне доступно детям. )

Указанный вами пример вообще не работает. Такое письмо, как вы привели вообще не доходит на ящик маилру. Я пробовал. Они такую пургу не принимают.

Только ради тебя поприкалываюсь )) с этой штучкой!