nonun, я уверен, что если ты не поддерживаешь, то и другие не поддержат.

Но с текущим набором смайлов иногда нельзя точно выразить свою эмоцию.

Всегда можно поставить картинку-мем.

Введение же новых смайлов как дополнительных вызовет гигантский список - где будет непросто отыскать что-то нужное.

и что?

Оставь работу создательницы сайта в покое

Кстати, тут не только незапрет на подмену куков, но и доступ к хтмл тегам может весьма коварно сыграть… вот скажите, вы на какой страничке обычно пароль вводите? На заглавной, на личке (укозовская форма), или на любой форумной странице через всплывающее поле по кристаллику?

Вообще, там фиксируется точный v4 адрес, или только часть подсети? Если подсеть, то теоретически можно отыскать какой-нить прокси с похожим адресом (правда я не смог), а если система требует совпадения даже последнего бита – то всех АМС должно по идее перелогинивать после каждого переподключения, тем более что, кроме как в панели управления, больше нигде укоз больше одной сессии не допускает.

Всё, я вытаскиваю удочку. Итак, что я установил: пользователь, обладающий HTML кодами в сообщениях – по силе эквивалентен модератору или администратору! Потому что, потратив некоторое количество сил и времени, он сможет на время или навсегда перехватить управление над любым другим аккаунтом, потенциально самым полномочным. В особенности, когда сессия жертвы не привязана к IP, но и это не лекарство от всех болезней. Мои результаты сводятся к четырём теоретическим пунктам:
1) Тот, у кого есть HTML, может повесить крючок и дампить куки всех попавшихся. Если их сессия не привязана к IP – он сможет получить полный доступ к их аккаунту и правам, включая смену пароля в профиле (при этом не зная старый).
2) Тот, у кого есть HTML, может где-либо повесить свой обработчик на «кристаллик входа», в надежде, что жертва будет входить через него. В этом случае он получает пароль и следовательно, полные права – независимо от привязки сессии.
3) Тот, у кого нет HTML, всё ещё может воспользоваться той самой дырой (Серл знает), если Укоз её до сих пор не закрыл. Через неё он получает HTML и возможность атаки предыдущими способами.
4) Даже если сессия жертвы привязывается к IP, а сама она никогда не входит через кристаллик (например, всегда со страницы /index/14 ), то даже так имеющий HTML коды (или получивший их через дыру) сможет выполнить от имени жертвы однократный скрипт, не дающий полного доступа к аккаунту,
Но я находчив, и дописал скриптец по способу 4 – и таки выудил страничку списка тем «Совет Админо-модераторского состава», но остановился на этом: всё-таки мне бал важен сам факт возможности, а не информация там. И с аккаунтами «взломанных» пользователей я тоже ничего не намерен делать (тем более большинство из них – мои друзья). Но в любом случае нам нужно что-то придумать, чтобы подобные атаки не были в принципе возможны.

И да – мне немедленно убирать крючок и стереть все свои следы, или кто-нить из АМС хочет попробовать «поймать» меня за скрипт? ^^

Нехилые такие у сайта дыры.

Нехилые такие у сайта дыры." -- Ага. Например одно из последних ваших входящих ЛС имеет тему «а, просто без темы)». О чём оно – не знаю (и не буду узнавать), я не воровал содержимое писем, только список. Ха, а ещё я действовал прямо со своего текущего IP и не скрывал себя при запросах! Видимо, Серлутин на уровне панели управления забанил тот сайт, с которого я производил атаку (видимо ещё год назад, когда мы обсуждали дыру и проверяли). А может это сам Укоз защищался, я не особо заморачивался.

А исходник-то хоть показать? Он клёвый!