А-а-а-а-а!!!!!!!!
таки-нет в ленте....

Вот только давайте не будем...

а если идти по ссылке на таки-нета, то запощивается этот постинг? :-)

Хм. везде засада :)
(кстати говоря, там и сям в комментах народ рвется переделывать пароли - не для уловления ли этих торопыг все и задумано? :)

Я вот думаю: наверное, узнать пароли от каких-либо эккаунтов таким образом злодейский скрипт не может. Просто потому, что их нет в браузере (если они там не запомнены по специальному указанию юзера), в компьютере и т.д.

Но что такой скрипт может сделать? Если он может послать ЖЖ-постинг от имени неосторожно кликнувшего юзера, не может ли он разослать какие-нибудь письма от его имени (если юзер в момент кликания залогинен в почту)? Если он может создать новый ЖЖ-постинг, не может ли он стереть старые?

а как он может рассылать посты от юзера, не узнав пароля?
(собственно, про стирание старых постов тот же вопрос)

Представьте себе, что кто-то чужой подошел к вашему компьютеру, когда вы отлучились. Он ведь сможет от вашего имени послать постинг в ЖЖ, верно? Если вы были залогинены в ЖЖ в момент отлучки. Так же он сможет стирать постинги, рассылать письма (если вы залогинены в почту), и т.д.

Но вот узнать ваш пароль от ЖЖ он, вероятно, не сможет, по крайней мере, очевидным способом. Хотя обходным путем, может быть, и сможет: скажет ЖЖ, что он потерял пароль, чтобы ему выслали его на почту. Откроет почту и прочитает. После этого сменит пароль на новый, и т.д.

Если все это возможно, то ситуация выглядит опасной.

Это зависит от того, насколько правильно устроен ЖЖ. Если бы он совсем правильно был устроен, то даже создавать новые он бы не мог, но, видимо, может.

таки мозилловский плагин noscript, похоже, меня уберёг

та же фигня, ага :)