Gestisco un paio di account Twitter per aziende / siti web che sono separati dal mio account personale. Per semplicità, preferisco accedere da una finestra di navigazione in incognito in modo che non sia necessario disconnettermi dal mio account Twitter (personale) principale.
Sono rimasto scioccato quando di recente ho eseguito l'accesso a uno degli account secondari in una finestra di navigazione in incognito, chiuso la finestra e successivamente ho effettuato l'accesso a quell'account secondario quando si visita Twitter nella finestra principale non in incognito.
Ho eseguito alcuni test e ho riscontrato che l'accesso automatico si verifica indipendentemente dal fatto che sia attualmente connesso a Twitter o meno nella sessione principale del browser, ogni volta che accedo tramite la finestra di navigazione in incognito. Se lascio la finestra di navigazione in incognito aperta e accedi a un altro account, anche la sessione del browser principale passa a quell'account Twitter.
Dopo alcuni spunti aggiuntivi, ho deciso di disabilitare le estensioni che avevo abilitato in modalità in incognito, per determinare se fosse correlato. Il problema è scomparso con tutte le estensioni disattivate. Le uniche 2 estensioni che avevo dato il permesso di operare in modalità in incognito erano Adblock e HTTPS Everywhere. Ho attivato ciascuno di essi singolarmente e il problema si verifica solo quando HTTPS Everywhere è abilitato. Ho inoltre stabilito che il problema appare su Twitter. L'accesso a un altro account Facebook, Gmail o Reddit in modalità di navigazione in incognito (con HTTPS Ovunque abilitato) non ha influito sullo stato di accesso nella sessione del browser principale.
Ovviamente, questo è un problema di sicurezza, specialmente per un'estensione orientata alla privacy che perde i dati di sessione. Nello specifico, mi chiedo:
- In che modo HTTPS Everywhere aiuta Twitter a uscire dalla modalità di navigazione in incognito "sandbox"?
- Perché questo succede con Twitter ma nessun altro sito?
- In che modo un sito Web dannoso può sfruttare questo bug per rubare o alterare le credenziali dell'utente?
Nota: questo non accade in Firefox utilizzando la modalità di navigazione privata con HTTPS Ovunque abilitato.