Ты их много что ли знаешь, которые всех имеют?

Короче говоря, это та самая фишка, о которой ты ссылку давал.

Я незалогиненым заходил.

Ээээ, Иван Лендл? :-D Конечно, я понял еще тогда, о ком речь. Я им тоже восхищаюсь.

Так группы без логина вообще все недоступны.

Остается подискутировать, правильно это или нет.

Ну ладно, побаловались, и хватит. Там был такой скриптик -

ладно, не будем дитёв соблазнять

А почему у меня не было мессаги, что броузер не дырявый?

Ты наверно заходил, когда скрипт ещё не готов был

ага, там какой-то mshtml инициализировался.

На самом деле, если ты пользуешься менеджером паролей, то опера тебя тоже бы не спасла, если б я скрипт до ума довёл. На месте фриборна я отрубил бы тег скрипт повсеместно.

В опере по крайней мере нужно кнопку нажать, в фф же это автоматом идет, как я понял?..
Я ему уже написал. Опасная штука.

В смысле "отрубил тэг скрипт"? Имеется в виду отключение HTML?

Ну зачем так сразу? Можно ж просто перекодировать скобки в теге скрипт. В принципе один раз регэкспом пройтись и всё.

Если логин на этом домене шёл только под одним именем, то заполнение полей происходит автоматически, и можно сразу инфу считывать. Но так как ник мне известен, то и другие браузеры не помогут. Но я собственно только под фф хотел дырку проверить, и это мне полностью удалось...

> Но так как ник мне известен, то и другие браузеры не помогут.
Этого не понял.

Так этого мало. Есть пара десятков разных способов запуска скрипта. Вот, например (в GECKO не работает):

<span style=top:expression(alert('test'))></span>

, или вот (везде работает):

<body onLoad=alert('test')>

, или... да их куча. Они столько фильтров не понапишут, учитывая то, что они тестируют только под IE.

Первое в О тоже не работает.

Не суть важно. Да и 90 или скольки там процентам германки легче от этого не станет.

Эти методы упираются в ихние же баги - они втыкают брейки, и скрипт перестаёт работать. Поэтому использование инлайновых скриптов возможно здесь только для коротеньких скриптов.