А ты уверен что должно что-то ещё приходить? В смысле - залогиненные юзеры твой жабаскрипт загружают?

да залогиненные. на себе проверял.

ваще, а это что, сессия уже не куки что ли??? В современно мире пароли в куках только дауны хранят, достаточно идентификации по сессии

ну что толку от PHPSESSID
как хэш украсть?

ничего не сделать. анти-кроссайт-скриптинг заложен изначально в броузеры.
маялся дня три подобной херней в первые и-нет годы.

на домашнем компе - получится. в реалиях сети - увы.

Ты мою первую мессагу в этой теме читал вообще???? У тебя у самого есть куки от этого сайта? У тебя там что, есть что-то кроме как PHPSESSID???

вот это всё

и? Ты стырил куки, чувак, ты хоцкер! Не шутка. Вставляй стыренную сессию вместо своей (например в опере) - и ты станешь тем, у кого стырил сессию (если она еще не просрочена, у них есть время жизни). Т.е. такие дела надо проворачивать моментально или писать для этого соответствующий скрипт.

ЗЫЖ Кроме шуток, тему можешь закрывать, если у тебя там в куках только сессия, чего ты еще ждешь от жертвы? У неё что, какой-то уникальный компутер или у неё какие-то уникальные отношения с сервом? Нет, такие же, как и у тебя и у любого другого.

На пальтсах - сервер берет сессию, делает скуль-запрос по сессии в базу, происходит идентификация пользователя

Этого было бы достаточно для разъяснения а ты поясничать начинаешь, кул хацкер, не все же такие умные как ты, поэтому тут открыта регистрация для всех и все общаются друг с другом и задают какие то глупые и не глупые вопросы.
не в моей компетенции, так бы закрыл