Брр... Непонимаю. Бред какой-то.

Аккаунт у меня paid user, точно такой же т.е.. Сейчас как раз сижу учу S2, увидел запись, тут же побежал проверить. Вставил в Page::print() (самая главная функция) кусочек:"""
<script type="text/javascript">
window.status = "$title";
</script>
</head>
<body>
""";И ЖЖ'шный cleanhtml.pm весь скрипт аккуратненько вырезал, как и положено. Аналогично, разумеется, происходит если и в body пихать, а не в head. Почему у Экслера код там спокойно держится я никак не могу понять. Единственное объяснение что приходит в голову - что тот блок sidebar'а куда он пихнул js почему-то ошибочно является trusted layer'ом, где очистка не производится. =/

Уфф. Нашёл где ошибка :) Этакое подобие XSS в S2, если я правильно понял принцип как оно работает. Хотя понял я это очень смутно. =/

Отправил багрепорт им, пусть разбираются сами.

В Вашем баг-репорте ясно указано, что это не что-нибудь, а дырка в безопасности? Особенно если Вы писали в суппорт. Меня просто удручает уровень сообразительности тамошних добровольцев: они могут не моргнув глазом сказать, что так и надо, вместо того, чтобы оповестить bradfitz@lj, evan@lj и dormando@lj, как положено (http://www.livejournal.com/doc/html/support.html#security).

Да, всё чётко указано что это явная ошибка, как она воспроизводится и какова предположительная причина её появления.

Я по дурости написал это в support, не видел тогда этого документа, а при отправлении заявки там про такие случаи ни слова, но все равно, как положено - добровольцы рассказывать баек не стали, запрос перевели в приватную категорию ("This is a private request. It is not publicly visible.") с пометкой "Support category: Webmaster". Буду надеяться, дальше программисты ЖЖ там разберутся...

Документ, на который я сослался, — это инструкции для добровольцев support’а, так что формально Вы все правильно сделали. Я бы не стал полагаться на support и отправил бы ссылку на Ваш тамошний запрос по почте вышеупомянутым товарищам (указав в сабже, что это про LJ security), но это скорее дело вкуса.

Всё, сегодня пришло письмо ночью, пишут что с багой разобрались и заделали.

Это радует!