Ну а alert(document.cookie) - це мій (класичний) приклад демонстрації Cross-Site Scripting уразливості. Це нешкідливий і сам по собі безпечний приклад, який демонструє наявність уразливості. Для безпосередньої атаки потрібно використовувати інші, більш складні скрипти. На своєму сайті я детальних прикладів XSS атак не привожу, щоб не розводити в себе скріпт кідісів.

Про Cross-Site Scripting я на сайті писав чимало метеріалів. Зокрема зверни увагу на розділ Статті, та на інші матеріали котрі я регулярно поблікую для просвіти громадськості.

>Дыра, конечно, серьёзная для сайта о языке программирования
Со своей стороны я уведомил об уязвимости - а финальное решение о необоходимости патча за вами. В случае подобных заявленмя я вам рекомендую почитать мою небольшую статью Сайти зомбі, а также ознакомиться с разделом Статті.

Уязвимость - есть уязвимость. И это уже нехорошо. Как минимум с точки зрения имиджа. А тем более на сайте о языке программирования - ведь программирование должно быть безопасным (чему и посвящён мой проект), а для этого сам сайт о программировании не д.б. дырявым. Ну и нужно учитывать все риски, которые не учитываете по незнанию, и по поводу которых я порекомендовал почитать информацию.

>только вот по сетевому этикету, молодой человек, положено уведомить автора сайта об этом заранее..
Как я уже сказал, вам отправил три письма. И то что вы не получили их - это уже ваши проблемы. Мне никаких возвратов не пришло. Если я сказал (вам в чате), что отправлю - значит так я и сделаю. И так и сделал - как об этом на сайте написал. А ламерски настроенный спам-фильтры - это уже дело владельца емайла, я не нанимался хакать ваш емайл и фильтры, чтобы вы получили от меня письмо. И в случае если мне приходит возврат, тогда я ищу другие пути, чтобы сообщить автору сайта. В вашем же случае я написал три письма и ни один из них не вернулся (с сообщением об ошибке).

После публикации второго анонса о новых ошибках на вашем сайте, я запостил информацию у вас на форуме! Вы её читали? Т.к. я заходил через несколько дней и никакой реакции на форуме не увидел. И от вас никаких вопросов не поступало. Как я только что посмотрел, моё сообщение до сих пор висит без ответа. Нужно следить за сообщениями у себя на форуме, и если я там написал об ошибке, а писем как вы заявляете не получали, то нужно было со мной связаться. Я уж не говорю, что фильтры нужно нормально настраивать, чтобы все важные сообщения доходили. К примеру, недавно админы сабскрайба, связались со мной, т.к. ни по емайлу, ни с формы на сайте не дошло до них моё уведомление (явно какое-то сообщение о письме с такого-то емайла дошло). Они нашли у меня на сайте анонс уязвимости и связались со мной и я им по асе выслал текст письма об уязвимости, чтобы они могли исправить её (раз фильтр не пропустил письмо). Поэтому было бы желание, то можно в любой ситуации получить от меня измещение, а не заходить на сайт и безосновательно меня обвинать

Вы первый человек в этом году, и за всё время работы сайта (с 18.07.2006), кто меня обвиняет в нарушении сетикета (и безосновательно). Поэтому исходя из ваших безпочвенных обвинений, и чрезмерного злоупотребления смайлами, могу сказать, что это вам нужно задуматься о своём этикете и сетикете (и пофиксить свои спам-фильтры).

>Кстати, у меня почему-то есть мнение, что Вы моё сообщение удалите либо отредактируете
С чего вы взяли? Это движок WordPress и у меня включен режим “еденичной премодераци” - когда я первый раз пользователя (по IP) сообщение допускаю, а дальше уже подверждение не требуется. Это защита от спама (которого изо дня в день всё больше, несмотря на то, что проект начал работу лишь 18.07.2006). Ваши сообщения я допустил в тот же, как добрался до интернета и зашёл в админку. Так что не переживайте.

>“Администрация проекта” публично заявляет, что было сообщение через чат-поддержку о том, что у вас есть на сайте огромная дыра.. На вопрос “поясните, где” - поступил ответ скоро узнаете.. Так что можно сказать, что нас не уведомили о конкретной дыре..
Как я сказал, я вам отправил три письма. Первое после разговора в чате, после анонса первой уязвимости (до опубликования деталей), второе - после анонса второй (а также на форуме написал), третье - после анонса третьей (сразу на два емайла). И вы единственный человек, который мне жалуется на неполучение информации - в этом году десятки и сотни людей получали от меня информацию (всеми доступными способами, по емайлу, через форму, на форуме, по асе и по телефону - лишь детали я отправляю по емайлу или через форму, т.к. ни форум (открытый), ни телефон, для этого не подходят).