В общем трабла такая. Засылаю себе на xxx@yandex.ru письмо с приаттаченным ХТМЛ:

<script> alert ( document.cookie ); </script>

открываю, вижу, что переменная куков содержит:

mail_tag=yandex.ru; yafolder=22xxxxxxxxx
и всё! только эти 2 параметра.. спрашивается... ГДЕ ВСЁ ОСТАЛЬНОЕ?? :)
по проксомитрону смотрю - остальное должно быть, но где оно?? куда вырезается оставшаяся часть?
сессия, фио и т.д. которая видна через проксомитрон в заголовке параметра "Cookie: "

Эттейч открывается в новом окне?
Скорее всего домены то для самого ящика и для вложений - разные, поэтому и куки у них разные.

Да домены разные

А у меня другой есть вопрос:
Если я получил адрес сесси на Рамблере и qwery от нее, то как я могу её поюзать и могу ли вообще?

блин как в воду глядел. Наткнулся только что на статью:
http://www.securitylab.ru/?ID=54656&R=0.ML.CGI

не совсем там понял этот момент:
Теперь если нажать на ссылку обведенную красным, то откроется открытка расположенная по адресу http://cards.yandex.ru/message.xhtml?
id=8e20df3454e8726331411bcae2c7bf0f и жертва лишится cookies.
но как жертва может лишиться куков? у меня в этом плане абсолютно ничего не вышло!

интересно, а вот это как-нибудь с этим связано:
p.s. Компания Яндекс получила уведомление о наличии уязвимости за несколько дней до публикации этого материала.
может быть это как всегда я опоздал на несколько дней?:)

или лет... ;)