Ну чтож, насчет того чтобы критикуя что-то предложить, в данном случае проблематично думаю будет), потому что действительно(уверен процентов на 99) тот глюк никак не зависел от пользователя, ошибка скрипта, сервер посылал чужие идентификационные данные. без каких-либо видимых причин.
С уровнем безопасности тоже все ясно, так что экспериментировать мне не нужно). Например уверен что ты не знал такой фишки: в кукис содержится переменная Mpopl, скольки-то-там-разрядный идентификатор; так вот если уберешь авторизацию по cookies, или просто отключишь их перед заходом в почту, то будешь распознаваться по id-ключу в адресной строке. Этот ключ генерируется по тому же алгоритму что и Mpopl, то есть то же самое и есть.
И вот открытая с полгода назад мной интересная вещь. Берешь свой файл с cookies:
.........
...........
...........
Mpop=1547698083:53409a09127a900919050219811d011b03 09844f6b5d5e465e0704090c1d030a92781056733c4551105a 545e907f4537:admin@mail.ru:;
.......
........

вырезаешь идентификатор, и передаешь аргументом одному скрипту:
http://swa.mail.ru/cgi-bin/checkcook...5a545e907f4537
И ты окажешься в своей почте. Можешь даже проделать это с другого компьютера. Очень удобно использовать с любой xss-уязвимостью для чтения чужой почты без всяких глюков и какого-либо спец. софта.
Но вообще уже оффтоп пошел, я всего лишь хотел сказать что у мэйл.ру были(судя по тому что поднята тема, возможно и сейчас есть) серьезные проблемы с безопаснотью. в частности, как уже отметил, какой-то глюк в скриптах, который выдавал чужую индент. информацию другим пользователям. я это наблюдал, и несколько раз использовал. правда не исследовал, и систематизировать не удалось.

__________________
#####################