Если вы забыли свой пароль на memori.ru, то когда вы запрашиваете восстановление пароля, и при этом ещё и забыли ваш email, с которым регистрировались, то ошибочно указанный email уйдет на сторону: например, вы запрашиваете восстановление пароля на email blabla@mail.ry. Тогда браузер переходит на страницу http://memori.ru/forgot/?err=1&email=blabla@mail.ry
НО: в страницы сайта встроен счётчик liveinternet (counter.yadro.ru, маленький прямоугольничек внизу страницы).
Если просмотреть html-код страницы, то увидим следующее:
<img src=’http://counter.yadro.ru/hit?t25.1;r»+ escape(document.referrer)+. . .
document.referrer относительно сервера counter.yadro.ru — это адрес страницы, на которой расположен счетчик.
Таким образом, когда вы восстанавливаете пароль, ваш email становится известным постороннему серверу.
Могут ли владельцы memori.ru не знать об этом? Ай-яй-яй, такой известный раскрученный сайт не желает заделать пустяковую дыру и через нее сдает данные юзеров. Нехорошо. Насколько мне известно, эта дыра существует не первый месяц.
А если email введен верно, то он не засвечивается.
Правила соблюдены, не придерешься :-\ вы ввели неверный email, он не зарегистрирован на мемори-ру, и они не обязаны хранить его в тайне.
Изм. 27.03.2008: откомментили, что дыру исправили
Исправлено.
Ух ты, следят, что про них пишут. Молодцы.
Хм… Пока это у нас не сильно развито, так что придётся чуть подождать.