здесь увидел в заголовке :

Set-Cookie: name=value; domain=.domain.com; path=/; HttpOnly
нецепляет эту куку document.cookie
интересно всё же можно ли её выцепить, если нет почему такой флаг почтовики не применяют ?

нашёл статейку
http://www.xakep.ru/post/17540/
но всёравно ничего не пашет ...

"Сross-site scripting, наверное самая распространенная уязвимость Web-серверов."

=D

Zadoxlik ну дык это же... думаешь, там статьи на наличие бреда проверяют? =)))