Все никак недойду мозгой... насчет XSS. Пассивная - я понял - готовую ссылку впариваешь юзеру (он должен перейти по ней) - получаешь его куки. А активная?? Да, я понял - человек заходит просто на страницу или смотрит сообщение - куки твои, но мне что, прийдется менять файлы на бажном сервере?? но тогда ведь нужно иметь доступ к этим файлам, права и т.д.... или что? честно говоря я так и не уяснил этого ни в одном руководстве...((( объясните популярней танкисту.