Так, ещё вопрос: Узнал вот про использование метода TRACE. Описание на старом Античате такого :

Используя ActiveX компонент XMLHTTP, мы отсылаем запрос TRACE на целевой web сервер. Если есть поддержка TRACE, броузер покажет данные отосланные вместе с HTTP запросом. Internet Explorer отсылает по умолчанию данные, а JavaScript выводит окно с содержанием HTTP запроса. Если ваш браузер имеет cookie от удаленного сервера, или находится на сервере используя WEB авторизацию, то следовательно данные могут быть перехвачены злоумышленником. Эта технология гарантирует обход атрибута "HttpOnly", потому что не используется функция document.cookie. Но самое страшное то, что от CROSS-SITE TRACING не спасает даже SSL. На данном этапе важно осознать две вещи.

1 Данная технология поддерживается Internet Explorer.
2 Mozilla/Netscape воспринимают такие cookie, как обычные.

При использовании TRACE запрос должен исходить со скрипта принадлежащего одному домену с целевым сервером. Так, скрипт который посылает запрос TRACE и соединяется с mail.ru должен принадлежать серверу mail.ru. Технология доменных ограничений помогает защитить пользователей от XSS. Для обхода данного ограничения существуют два варианта: XSS в контексте броузера или сервера. Если возможность XSS присутствует на сервере, то предыдущий сценарий и будет эксплоитом. А для использования изъянов в броузере нужно воспользоваться таким сценарием:

1 Создание эксплоита для получения доступа в другую доменную зону (в принципе этого хватает если не используется флаг "НttpOnly").
2 Задание в качестве исполняемого кода сценария запроса TRACE

Насчёт контекста браузера непонятно,хотя перечитываю раз пять уже (. Тобишь скрипт должен находиться на компе юзера,и его надо запустить ? ).И ещё : это сработает тоьлко в том случае, если серв поддерживает старую добрую трейсю ?:Р.Первый вариант меня жутко раздражает, ибо если у мя есь доступ к серву, то я полюбому вытащу оттуда и логин и пароль))))(куки уже не нужны будут, ибо для каждого домена они свои, и нахрен не сработает так со всеми сайтами ))) ). Такие вот пироги е*аные ))))))).Мошь прояснит кто : )