Да как самому защититься -- вопрос примерно пятый. Продвинутые пользователи сумеют.

Вопрос в том, что создаётся большая дыра, которую кто-нибудь в один прекрасный момент с размаху использует -- и порушит часть ценной коммуникативной среды, состоящей не только из продвинуиых пользователей.

так а в чем тогда дело, напишите как защититься и научите всех, это как раз поможет заткнуть дырку. Или интересней чужие ошибки пообсуждать? Тоже можно, но только надо сначала определиться что мы делаем то.

да и мне кажется что все как то сильно преувеличено, чем сервер ЖЖ отличается от обычного сайта? Есть такие, где заразу намного проще подцепить. С cookie есть некоторая проблема, т.к. все страницы на одном домене, то cookie вытаскиваются легко, но что потом с ними делать то можно? Неужели там нет привязки к IP? Или кто-нибудь уже знает алгоритм его генерации чтобы вытащить нужную инфу и залогиниться с любого компьютера? Я за такими вещами не слежу, неужели это так?
Ну а остальные перечисленные проблемы они у любого сайта есть, так что теперь в веб не ходить?

Чтобы получилась нормальная защита, меры должны быть приняты администрацией ЖЖ: путём ли изменения схемы авторизации, путём ли замены подключения javascript-а или фильтрации его. Лично я мало что могу на эту тему сделать, я там не работаю.

С кукой можно много что сделать -- она к IP не привязывается у большинства. Не уверен, что её хватит сменить пароль и email (там пароль по новой запрашивается), но понаписать ерунды или всё поудалять -- хватит.

>С кукой можно много что сделать -- она к IP не привязывается у большинства.
ну так это же уже не проблемы сервиса? Он настроить это позволяет, а перевоспитывать пользователей - не его задача. Единственно что - могли бы по умолчанию сделать - привязка к IP. Как уже обсуждали ниже от многих проблем спасает.

Его задача - обеспечить безопасную коммуникационную среду, он с этим не справляется иногда.

к сожалению у него другая задача - бабла срубить. Тех кто знает о наличии дыр в безопасности не так уж и много и они попадают в разряд - проще на них забить, т.к. они все равно будут недовольны. Спасение утопающих как говориться...