Administro un par de cuentas de Twitter para empresas / sitios web que están separados de mi cuenta personal. Para simplificar, prefiero iniciar sesión desde una ventana de incógnito para no tener que desconectarme de mi cuenta de Twitter principal (personal).
Me sorprendí cuando inicié sesión recientemente en una de las cuentas secundarias en una ventana de incógnito, cerré la ventana y luego inicié sesión en esa cuenta secundaria cuando visité Twitter en la ventana principal que no es de incógnito.
Hice algunas pruebas y descubrí que el inicio de sesión automático se produce independientemente de si actualmente estoy conectado a Twitter o no en la sesión del navegador principal, cada vez que me inscribo a través de la ventana de incógnito. Si dejo la ventana de incógnito abierta e inicio sesión en una cuenta diferente, la sesión del navegador principal también cambia a esa cuenta de Twitter.
Después de algunas operaciones adicionales, decidí deshabilitar cualquier extensión que hubiera habilitado en modo de incógnito, para determinar si estaba relacionado. El problema desapareció con todas las extensiones deshabilitadas. Las 2 únicas extensiones a las que había dado permiso para operar en modo de incógnito eran Adblock y HTTPS Everywhere. Permití cada uno de ellos individualmente, y el problema solo ocurre cuando HTTPS Everywhere está habilitado. Además, establecí que el problema solo parece para ocurrir en Twitter. El inicio de sesión en una cuenta diferente de Facebook, Gmail o Reddit en modo de incógnito (con HTTPS Everywhere habilitado) no afectó el estado de inicio de sesión en la sesión del navegador principal.
Obviamente, este es un problema de seguridad, especialmente para una extensión orientada a la privacidad que está filtrando datos de sesión. Específicamente, me estoy preguntando:
- ¿Cómo ayuda HTTPS Everywhere a Twitter a escapar del modo incógnito "sandbox"?
- ¿Por qué sucede esto con Twitter pero no con otros sitios?
- ¿De qué manera podría un sitio web malintencionado explotar este error para robar o alterar las credenciales de los usuarios?
Nota: esto no sucede en Firefox usando el modo de navegación privada con HTTPS en todas partes habilitado.