Я и супруга имеем экаунты на "Госуслугах", а всеми бюрократическими делами занимаюсь я - слежу, оплачиваю, оформляю заявления и т.п. Разумеется, с одного и того же браузера. Сегодня увидел интересное: не мог зайти в экаунт жены после того, как полазил в своём. То есть, после своей сессии нажал "выйти", потом нажал "войти", сменил пользователя, набрал пароль (разумеется, от экаунта жены) и... Оказался опять в своём экаунте.
Подохренел, почесал репу. Одним из свойств моего мозга является мгновенное восприятие информации на экране, и я не совершаю ошибок а-ля "ввёл не тот телефон / имя пользователя". Точно помню, что вводил телефон жены. Даже если по запарке ввёл свой пароль (вот это уже бывает, он весь в звёздочках же) - пустить всё равно не должно.
Эх, раз, ещё раз, ещё много, много раз - всё то же. Логин - телефон жены, пароль - от экаунта жены. А попадаю чётко в свой экаунт.
Как веб-разработчик, понимаю, что дело в куках. Очищаю все куки домена gosuslugi.ru - та же петрушка. Вижу, что, несмотря на очистку куков, система помнит последнего пользователя. Поднимаю взгляд на адресную строку - светится домен esia.gosuslugi.ru - именно через него производится аутентификация. Очищаю куки с этого домена - вуаля! Никто больше ничего не помнит, и я наконец-то могу зайти в экаунт жены.
Брешь довольно адовая, поскольку, получается, система при каких-то условиях заходит в экаунт последнего пользователя, несмотря на то, что вход производится совсем в другой. Эксплуатировать сложно, но можно. Вообще не понимаю, как так напрограммировали. Это при том, что проект "Госуслуги" как разработчику мне даже в какой-то степени нравится - редко когда видел там неприятные глюки, сделано вроде неплохо, работает сносно. И - такой косяк.