объяснил неплохо,буду пробывать

Еще не пора, потому что есть примеры, которые до сих пор работают. Но все равно выложу.

Сначала то, что уже пофиксили:

--------------------------------------------------

Логин на Яндексе



(нашел Uex Urgent)

upd:

Ящик mail.ru

(нашел Uex Urgent)

--------------------------------------------------

Баг на mail.ru, позволяющий узнать ящик пользователя, попытались пофиксить.

При запросе http://swa.mail.ru/cgi-bin/counters?JSONP_call=a теперь проверяется, чтобы сайт в реферере принадлежал мэйлру. Но если реферера нет, все работает нормально.

Используем протокол data, чтобы убрать реферер:

--------------------------------------------------

Количество непрочитанных сообщений в ящике mail.ru

Немного оффтопа:

По той же ссылке http://my.mail.ru/mail/anyname/counters кроме счетчика писем есть счетчики данных из соц.сети "Мой Мир" - непрочтенные сообщения, приглашения в сообщества, заявки в друзья. Смотреть можно не только свои данные, но и любого другого юзера соц.сети. Информацию о username@domain.ru можно посмотреть по ссылке http://my.mail.ru/domain/username/counters

Примечание: счетчик писем в ящике всегда показывает свое значение, независимо от пути в адресе counters

--------------------------------------------------

Найдено в январе 2012, работает до сих пор:

--------------------------------------------------

Имя, фамилия на odnoklassniki.ru

Примечаение: в реферере должен быть домен *.mail.ru

--------------------------------------------------

Достаточно ценный баг. Умеет превращать дешевый траф в дорогие классы на сайтах. Работал 2 года, но после этого поста жить ему осталось не больше недели.

--------------------------------------------------

odnoklassniki.ru

Имя, фамилия, ID пользователя, ссылка на аватар.

Реферер не проверяется.

ID пользователя дает ссылку на профиль - http://www.odnoklassniki.ru/profile/USERID

photoType в avatarURL влияет на размер фото.

UPD:

Также в ответе сервера передается значение sign, которое используется как CSRF-токен при нажатии кнопки "Класс" на сайтах (http://api.mail.ru/sites/plugins/share/). Можно накрутить счетчик на любом сайте.

При получении sign в параметре ref должна быть ссылка, на которой находится кнопка "Класс".

http://www.odnoklassniki.ru/dk?st.cmd=shareData&ref=ССЫЛКА_НА_СТРАНИЦУ_С_КНОПКО Й&cb=a

POST-запрос на http://connect.mail.ru/share. Параметры запроса (в url то же, что в ref из первого запроса):

ubershare=1

postType=share_like

url=ССЫЛКА_НА_СТРАНИЦУ_С_КНОПКО Й

submitted=1

comment=КОММЕНТАРИЙ

ok_uid=USERID

ok_sig=SIGN

--------------------------------------------------

M_script, очень интересно узнать технологию работы таких сервисов как sосfish и smmmаnagеr, позволяющих отследить ID VK пришедшего на сайт или прошедшего по ссылке пользователя. В Интернете есть немного инфы о том в каком направлении нужно работать (например здесь http://habrahabr.ru/post/228617/ и https://talk.pr-cy.ru/topic/8957-kak-rabotaet-opredelenie-stranitcy-polzovatel/?p=102653), но как сейчас реализовать подобный инструмент для личного использования?

Что касается услуги определения прошедшего по ссылке пользователя в сервисе sосfish, она либо работает некорректно, либо я что то не понимаю, но фактически при прохождении по сгенерированной ссылке идёт перенаправление на приложние-шпион ВК, без дальнейшего перехода на заданную в сервисе целевую страницу.

Вот 2 этапа по которым мы попадаем на страницу приложения:

1.

2.

Наверняка все эти редиректы с параметрами созданы по причине масштабности проекта, что бы каждый "шпион" получал информацию только от своих ссылок, и наверняка эти параметры должны содержать информацию о конечном сайте (на который должен быть направлен пользователь после посещения приложения).

Что происходит в приложении и как реализован сбор информации о посетителе БЕЗ установки этого приложения - для меня остаётся загадка, которую очень хочется разгадать

Скорее всего, сбор информации о посетителях сайта (протестировать пока не решился, т.к. услуга платная и оплачивается единовременно за подключение сайта) происходит с помощью этого же приложения, методом подпихивания его (фрейм?) в основной контент страницы.