В Яндексе смешиваются сессии между разными пользователями, но они не видят в этом проблемы
Некорректная очистка сессии при смене пользователя / кэшируется профиль
При переключении между двумя аккаунтами в веб-интерфейсе (например, Виктория → Людмила), часть пользовательских данных продолжает отображаться от первого аккаунта. В Network-запросах обнаружено, что поле dr не обновляется и одинаково у двух пользователей. Это может привести к утечке данных и неверной аналитике
Идентификаторы (dr, Session_id, yandexuid, L, wstoken, hittoken) не сбрасываются между аккаунтами. Пожалуйста, перепроверьте логику сброса сессии при смене пользователя.
Ошибка: при наличии нескольких аккаунтов, в один из них добавились данные от другого: телефон, почта, имя
При входе с аккаунта №2 получается какой то гибрид: Остаётся аватарка и номер телефона аккаунта №2, а имя из аккаунта №1
При этом, в приложении Такси у данного аккаунта почта отсутствует вообще.
Далее: видно, что в профиле Яндекс у одного аккаунта отсутствует телефон, у другого почта. (id яндекс разные профили)
В приложении Еда данные аккаунтов "смешиваются"
Приложение Яндекс Маркет
На видео видно, что информация о заказах остается видна без авторизации, после выхода из аккаунта
ym_uid совпадает у разных пользователей
Тот факт, что пользователи заходят с одного устройства, не является оправданием для бага, при котором один пользователь видит данные другого. Это критическая ошибка в изоляции сессий или авторизации.
- Некоторые куки (например, Session_id, L) не обновлялись при переключении между пользователями.
Это значит, что сессия продолжалась, даже при смене аккаунта.
p.s. по прежнему можно менять емэйл без какого либо подтверждения и настраивать рассылку на чужой адрес
сайт market-delivery.yandex.ru
в истории нет заказов, но:
- в разделе рестораны подсвечивает "уже заказывали"
- в супермаркетах в разделе "вы покупали" также выдает список покупок