Внимание, воровство cookies!

Да, верное замечание. Я думал на хабре в куках сессия. Ан нет, там хеш от пароля, скорее всего соленый md5.

Внимание, воровство cookies!

>Рекомендуется сменить пароль.
Да достаточно перелогиниться, т.к. злоумышленник не сможет сменить пароль - для этого необходимо знать старый пароль. В общем, аккаунт не украдут, но личной информацией могут воспользоваться.

Однокласникис.инфо

Решил посмотреть Вашу ссылку. Как и предполагалось, все на самом деле гораздо проще. Редиректит Вас там потому, что Вы используете относительно безопасные браузеры последних версий, типа ff или opera. Но попробуйте зайти по этой ссылке под всеми любимым шестым ослом (хотя лучше не стоит). Вам тут же любезно попытаются загрузить трояна с помощью небезысвестных эксплоитов MDAC и WFI (а вот и они - odnoklassnikis.info/load.php?spl=wfi и odnoklassnikis.info/load.php?spl=mdac).

Вывод: слава FF и Opera!

XSS на Яндексе

Я не вижу ничего особо опасного в данной XSS. Эта XSS является пассивной, даже дважды пассивной. Т.е. мы должны заставить юзера перейти по этой ссылке, потом на открывшейся странице заставить нажать его еще одну ссылку. Сомневаюсь, что при проведении атаки найдется хоть один нормальный человек, который это сделает и ничего не заподозрит. Пассивных XSS на Яндексе хватает. Более опасными являются активные XSS, но если на Яндексе они и есть, то находятся строго в "привате".

Что касается заявлений о том, что Яндекс не заботится о своей безопасности и не закрывает дыры — я скажу, что это не совсем так. Пару месяцев назад на Яндексе была такая бага, которая позволяла регистрировать неограниченное число аккаунтов в обход каптчи, за счет перехода сразу на второй шаг регистрации. После уведомления об этом саппорта по e-mail, бага была закрыта менее чем за 24 часа. Деньги за найденные баги они не платят — просто пишут в ответ письмо с благодарностью.