некто вася зарегил свой чат открыл окно админки

некто петя просит посетить его сайт
(к сожелению xss пасивный, т.е. необходимо заманить пользователя)

на сайте пети есть невидимая форма с на подобие моего примера, которая автоматический отправляется в скрытый iframe

в результате его логин и пароль уходят, к примеру на снифер