АААААААААААА!!!!
Это не баг, это фича опять. И ей уже сто лет. В обед. С тех пор как формат адресов поменялся и чего-то там еще про серверы было.

Ну, вообще-то исходя из того, что я знаю про cookies, это не фича, а баг.

Баг, о котором известно разработчикам и который они не собираются исправлять, считается фичей. Точка.
Короче, они там чего-то про безопасность говорили.

баян

Ничего себе. Значит, отстал я от жизни и Рому заставил быть, как я.

Отстал от жизни и Романа отставил!

Отлучил!

к исламу приучил

Ага, я давно уже спрашивала у yan@lj-а, зачем такое наказанье, и он мне даже объяснил, почему с точки зрения прекрасной безопасности это замечательно, только я уже забыла, почему. Он может еще раз объяснить, он очень убедительно это делает.

А нипочему.
Ну, типа, если Юра Вас на своем компьютере запустит, а Вы не залогинитесь, а он не разлогинится, то...
И т.д.
А еще можно руки отрубать - тоже очень секьюрно.

Не, это якобы после того, как взломали что-то у кого-то. Чтобы больше так не было. Или чтобы все думали, что больше так не будет. Или чтобы все об этом думали, а о другом не думали. Или еще для чего-нибудь.

Я же тоже тогда стала спрашивать не почему-нибудь, а потому что мне не понравилось. И сейчас не нравится. Но против фичи не попрешь.

Нет, там такая песня, что у человека можно
посредством жабаскрипа украсть его кук и под
его именем ходить на сайт, например
r_l.livejournal.com. Но для этого тебе нужен
контроль над r_l.livejournal.com.И если ты украдешь
его кук, ты сможешь на r_l.livejournal.com
читать френдленту от его лица. Поэтому
это запрещено.

Такие дела
Миша

Объясни мне, будь так безмерно добр, что такое баг и что такое фича???

Баг - это ошибка, а фича... фича - нарочно.

Спасибо!

но так правда надо. это оказался вроде единственно реальный вариант против хайджеков через кражу печенюшек, не тупых типа "кто-то забыл разлогиниться а в его теплую кроватку уже лег другой", а всевозрастающей хитрости с использованием разных заковыристых скрытых кусков в постах/в оформлении и всякого такого. надо отдать должное, о таких хайджеках, с момента когда вместо тильды у всех стал свой домичек/доменчик, я больше не слышал.

А раньше бывало? И что получалось?

если помнишь.
неприятные довольно вещи, совсем уже недалеко до массового взлома эккаунтов.

Колбасу помню. Только не помню, чтобы там до взлома доходило.
Куки - они или работают или нет, нет?

ну они ж отдаются подоменно.
там хитро было весьма, когда я читал, почему для просто чужого дневника не выдавая куки куда не надо показ подзамочных сделать получается, а для чужой френдленты уже нет. я, к сожалению, не могу сейчас сходу восстановить детали, но помню что в свое время я поинтересовался и счел их компромисс максимально возможным, на чем успокоился. можно поднять те обсуждения, конечно.

можно читать отсюда (http://community.livejournal.com/lj_dev/708069.html).
если есть интерес ;).

они исходили из того что тот на чей домен (или path) ты смотришь все равно сможет у тебя куку украсть, иначе пришлось бы зарезать всю систему оформлений. тогда они ввели промежуточные куки, такие чтоб давали возможность смотреть только то что секретно именно на этом домене и нигде больше. тогда вор сможет с ее помощью только увидеть себя так как его видишь ты. тогда понятно почему в его френдленте не должно быть видно чужих подзамочных записей.
достаточно изящно, не думая что можно было убить и убежавшего зайца тоже.

не думаю

Получается, что если я зайду на r-l.livejournal.com, то вы у меня можете украсть (с помощью css) r-l-specific куку. И сумеете подсмотреть на r-l.livejournal.com/friends моими глазами, т.е. увидеть подзамки предназначенные мне, а не вам.

Получается, что подзамками в чужой фленте пожертвовали ради журнало-раскрашивателей, которым мало жжшных стилей.

зафигачить свой CSS на r-l.livejournal.com?

а я не вам писал =)

извините, ошибся от усталости.

раскрашивать журналы это не по-нашему, не по-русски, но таких много.

а на users.livejournal.com и community.livejournal.com такой бардак продолжает твориться, да?

по-моему, единственный смысл этой фичи заключается в избавлении от жалоб вида "у него в ленте друзей мой подзамок, хотя он у меня не в друзьях"

это не так. можно читать начиная отсюда (http://community.livejournal.com/lj_dev/708069.html).

по-моему было бы логичней отключать внешние css

к серьезной дискуссии на эту тему. там в комментах предлагалось много вариантов. я так понял из беглого просмотра что число дырок потенциально бесконечно, и все их затыкать замаешься пыль глотать.

идиотская фича.

зато блондинки не жалуются на то, что у "него в ленте друзей мой подзамок, хотя он у меня не в друзьях"

да, этому действительно уже больше года
с тех пор мой аккаунт labas_readonly потерял всякий смысл