Комментарии участников:
не встречал такого,
обычно бывает что-то вида win.mail.ru/cgi-bin/readmsg?id=ххххххххххххххх, но эту дырку вроде давно прикрыли
Если сессия передается в урле, то можно по идее перейти в ящик, но такие ссылки наверное можно получить только если пользователь ходит через вас, а чтобы такой реферер был это врядли
обычно бывает что-то вида win.mail.ru/cgi-bin/readmsg?id=ххххххххххххххх, но эту дырку вроде давно прикрыли
Если сессия передается в урле, то можно по идее перейти в ящик, но такие ссылки наверное можно получить только если пользователь ходит через вас, а чтобы такой реферер был это врядли
Такая ситуация скорее всего происходит, если у юзера в браузере отключены куки. Тогда идентификаторы передаваться могут в урле. Судя по всему здесь такой случай. Однако, время жизни таких идентификаторов скорее всего не больше 20 (примем за среднее число) минут, и наверняка, есть проверка на ip-адрес от мейл.ру. В данном случае, если оба юзера сидят за одним прокси (а скорее всего тут так и есть), то один, имея доступ к логам, может войти в эти 20 минут, т.к ip будет за прокси тем же самым (и это еще при условии, что внутренние адреса в локальной сети прокси не отдает). Это если мейл.ру не заморачивается более сложными проверками. Т.е случай может быть реальным