Кстати, насчет брутам !
внимательно смотрите, т.к. недавно mail.ru авторизацию делал через httpS.

А насчет СИ - не согласен. человек может тупо даже не октрыть чужие письма. А писать с другово адреса - надо знать чела в реале и знать с кем обшается.. Вообщум, немного смутновато в этом случае СИ.
а что ксоаетс XSS - мне кажется есть на сайте активный XSS.. недавно "получил подарок+письмо" в "моем мире(это на mail.ru)" защел, чтоб посмотреть и смотрю че-то не то.. ну как бе чувствовал, что выполняется что то НЕ оень подарочное сразу удалил этот подарок и сменил пароль.