Хм. Не всем понятным причинам. В чём загвоздка? «Чистый» — это который просит пользователя себя запустить?

Чистый -- это который использует дырку непосредственно в почтовой программе. Щёлкнул по письму -- словил червя (в OE такое было, ага). Чем больше условий червю требуется -- тем хуже он будет работать.

У меня вот аттачменты по умолчанию показываются просто иконками, и что мне этот червь?..

Хе. Так я говорю не про аттачменты, а про картинки в письме. Прямо в его HTML'ном нутре. Аттачменты — это MIME multipart/attachment, а вставленный в письмо контент — multipart/related. И «упомянутый» в теге img по протоколу “cid:”.

Дык, и HTML не у всех по умолчанию показывается.

… и видеорежим не у всех графический. Но статистике эти «не все» не сильно мешают ). В тобою же помянутом OE, небось, из multipart/alternative автоматически HTML выбирается. Office Outlook так и вообще не удивлюсь если лишние альтернативы херит, он письмо в объектном формате хранит, а не RFC-текстом.

Мешают-мешают. Чем навороченнее червь -- тем хуже он распространяется.

BTW, хоть один пример почтового червя, работающего через дырку в картинках был?.. Я чего-то ничего не могу припомнить. В AOL IM был червяк, но какой-то мёртворождённый совсем.

Да нету тут, имхо, никакой навороченности. Юзеры на OE + OLK как раз ЦА червя, с хорошей точностью. И показ картинок — детерминистический процесс. Главное, чтобы в Junk не ушло. Это по внешней линке картинки не кажут, а по cid'у я не слышал, чтобы блокировали когда-нибудь. Считалось, что безопасно.

В JPEGах, что ли? А я про ту дырку не знаю ничего. Но это повезло, что дырка дохлая оказалась, она же до сих пор не заткнута, ходи пользуйся. Патч невразумительный. GDI+ те не GDI, в одном месте не локализован. Кстати да, раз это дырка в GDI+ была, то, возможно, к мейлерам-то она отношения и не имеет. Отсюда и отсутствие червей. А power point презентациями особо не назаражаешь.

Хм, а интересно, как упоминавшийся где-то тут data execution protection дружит с thunks и другими случаями генерённого на лету кода, который хорошо бы выполнить? Пишется в отдельную страницу, разрешённую на write/execute?

Кстати, а что, если favicon для сайта в формате WMF отдать? :) Скушается?

Не-а. IE, подозреваю, вообще только ICO поддерживает. GIF/PNG понимают уже не все, JPEG -- кажется, вообще никто. Куда там WMF...

Не скушается.