Антон Борисович вечером написал пост, в котором, в числе всего прочего, дал ссылку на профиль пользователя на сайте odnoklassniki.ru. думаю, что просто скопировал ссылку из своего броузера и вставил в пост

в ссылке присутствовал параметр его текущей сессии на "одноклассниках" - jsessionid. тут-то и обнаружилась с помощью этой переменной охуенная дыра в коде, которая позволяет отредактировать все данные чужого профиля пользователя на сайте и прочитать его приватные сообщения. работает эта дырка примерно так: пользователь категории А заходит на сайт по ссылке с сессией, после него заходит пользователь Б. если при этом пользователь Б нажмет на "мой профиль", он попадет в профиль пользователя А и сможет редактировать его личные данные и читать сообщения. пользователь В, зашедший после них, уже будет как свой видеть профиль пользователя Б, и так далее по цепочке

вспоминая недавно опубликованную дыру на вконтакте, можно еще раз повторить, что полностью защищенных систем не существует, и на каждую хитрую жопу найдется свой болт с резьбой

мораль сей басни такова: не верь никому, верь Пауку