здесь важен принцип. но вообще, код феерическо растянут, т.е. не юзабелен. догадка - это лишь пруф-оф-концепт, работающий код будет иным.
если ты откроеш страницу с этим урлом в новом окне, то выполнится этот яваскрипт для пустой страницы и ты получиш пустые куки, надо сначала открыть любую страницу вконтакте, а потом выполнить для неё яваскрипт, введя его в адресной строке страницы где был открыт вконтакте, так что никак, было бы здорово поменять урл на свой у открытого тобой всплывающего окна, но так нельзя, так бы любой сайт мог упереть все твои куки
на счет кук протормозил =) у меня мысли были в сторону открыть новое окно с запросом к mail.php =) т.е. теоретическая возможность проспамить по друзьям не угоняя акк... ну или changepassword.php =)
для смены пароля надо знать старый пароль а с mail.php вроде раньше такой трюк был, передать ему текст сообщения методом get и оно отправлялось, а теперь там метод post и скрытое поле с числом, которое нужно передать вместе с сообщением для отправки
Можно сказать что бы чел зашел в группу которую надо разрекламировать, там вставил javascript, что бы тот выдрал hash и пригласил всех друзей
