Заметили да, что я взял в кавычки?

Какая разница. Как может быть проблемой браузера получение куки средствами JS?

Ну я вообще-то не про куки имел ввиду, а вообще про баги. К примеру, сравнительно недавний баг с получением каких-то там данных в FF.

Зачем цепляться-то?

А где я к словам-то цепляюсь?

Я как раз таки платил за то, чтобы сильно перекроить вид моего жжурнала.
Т.е. фактически вы соглашаетесь с тем, что пофиг мне кто-что будет воровать, я хочу "перекроить вид". Я просто указал, что чиать куки можно вполне законно получается.

Мне действительно пофиг, кто там у кого что ворует.

Т.е. вам пофиг, что у вас украдут доступ к вашему журналу?

Я мало захожу на титульные страницы, всё через френдоленту. Да и пусть получают доступ — не жалко. Только, кому сдался мой жжурнал?

Пусть тысячники там сидят дрожат :-)

Когда напишут скрипт для массового взлома, кисло может стать кому угодно.

Вспомним "колбасу".

А что за «колбаса»?

Был такой скрипт, который при прочтении поста добавлял в его хвост имя читателя (получалась "колбаса" из имён). Без всякой инициативы читателя, разумеется. Использовалась дырка в ЖЖ. Хорошо, что ради шутки, а могли бы и что поинтереснее красть, пароль, например. (Не сам пароль, а идентифицирующую куку -- но "угнать" журнал хватило бы.)

О как, спасибо :-)

а как же привязка к IP

Не думаю, что у многих она стоит.

в чем ужас получения куки с livejournal.com? А для того, чтобы cookie других доменов нельзя было получать из дневника на ЖЖ - включаем одну галочку в настройках браузера.

в чем ужас получения куки с livejournal.com?
тем, что могут доступ к вашему журналу получить.

А для того, чтобы cookie других доменов нельзя было получать из дневника на ЖЖ - включаем одну галочку в настройках браузера.
Галочку, хм.

>тем, что могут доступ к вашему журналу получить
Есть где описание атаки? Или хотя бы опишите принцип в двух словах. На всякий случай - у меня привязка к IP.

>Галочку, хм.
да, и работает замечательно.

Есть где описание атаки? Или хотя бы опишите принцип в двух словах. На всякий случай - у меня привязка к IP.
Так и атаки-то нет. Просто читаете куку и всё.

да, и работает замечательно.
Вобще всегда думал, что "cookie других доменов нельзя получать" и без галочки.

а, ну да, эта запрещает ставить cookie, поторопился

>Так и атаки-то нет. Просто читаете куку и всё.
Неужели? Вам прислать мою куку и вы сможете добавить в мой дненивк запись? Куда присылать?

Неужели? Вам прислать мою куку и вы сможете добавить в мой дненивк запись? Куда присылать?
Вобщем-то да, но у вас же привязка к ip.

а яваскриптом нельзя по-другому нагадить? френда добавить, коммент удалить?

А фиг его знает. Теоретически, вроде да.

в этом случае будет спрашивать подтверждение, над которым вражеский jscript вроде уже не будет иметь власти. Но надо проверять, если возможно, то с этим в lj-dev и пусть затыкают, а дискусий по поводу cookie там и так уже много, судя по гуглу/

какое такое подтверждение чтоб френда добавить?

прошлый раз когда жеже облажался с безопасностью как раз и добавляли себя во френды в качестве прикола - джаваскрипт прописывался в сss, по-поему

поизучал сорцы, вижу в форме редактирования вот это:
input type='hidden' name="lj_form_auth" value="c0...." - т.е. вроде прикрыли дырку.

ну так все таки сможете получить доступ с привязкой к IP или нет? Прямо ответьте.

С привязкой к IP — нет.