Да вложения со скриптами всегда прокатывают, тк почтовые фильтры не проверяют html на опасные теги (естественно кроме известных сигнатур скриптовых эксплойтов), это уже проблема юзера откроет вложение или нет.
Надо понимать что в данном случае ошибка гуглмаил в том, что он открывает вложения в том же домене что и веб интерфейс почты, следовательно мы можем получить куки, а соответственно и сессию целевого пользователя.
В отличии скажем от яндекса который открывает вложения в др. домене и никакие куки вам получить таким способом не удастся...

один фиг там привязка к ип

__________________
Фреймворк для спамера :(
Услуги программирования

Честно говоря я тестил на яндексе и там поверь мне в другом домене все открывается и куки ты не достанешь! На маилру не тестил, так что про домен возможно прогнал.
А про маил ты сам написал, что палит любые скрипты, так что полюбому не обойдешь фильтрацию просто так, возможно домен при открытии тот же. Но куки ты все равно не достанешь скрипты режутся.
Вывод: все более менее известные, хоть как-то решали и решили данную проблему, на гмаил забили, возможно пока...
Так, что успокойся и перестань флудить в теме!!!

Тут дело всё в том что файл не обязательно обзывать как *.html можно как rar/zip/exe/jpg и т.д, и если он представлен в скрипте или хтмл-коде он чего-то исполняется, в то время как другие почтовики продпочитают сохранить его... Вобщем в этом и заключается бага.

ЗЫ: Ведущий специалист по безопасности переходит на работу в Google
Михал Залевски будет работать над устранением уязвимостей в интернет-проектах компании Google.
Новости 01 августа, 2007

http://www.securitylab.ru/news/300553.php