Всем привет, недавно тоже занимались разбором их XSS
1.Да действительно, нужен юзер агент, но это решаеться снифером
2.проверяли не по разу и не мы одни, нужнs куки только от e#mail#ru
3.В процессе нашли интересный баг, что имея один раз сессию, можно всегда просматривать ящик, даже если в нём нажали на выход.
4.Нашли кучу XSS от сервисов mail

Внимание, есть желание и есть возможности разобраться с sdsc от e.mail.ru
желающие и имеющие возможность принять участие в коллективном творчестве- велком!!