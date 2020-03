Eine plötzliche Funktionsänderung in Apples Browser Safari kann Web-Apps erhebliche Probleme bereiten. Die jüngste Version von Safari auf iPhone, iPads und Macs löscht lokale Speichermöglichkeiten von Webseiten – und zwar automatisch, sobald der Nutzer den Browser sieben Tage lang verwendet hat, ohne mit der jeweiligen Web-App erneut zu interagieren, wie Apple erklärte.

Diese Änderung schade Nutzern und könne zu Datenverlust führen, warnt die Passwortverwaltung 1Password in einer Bug-Meldung an Apples WebKit-Team. Bei der Nutzung des Passwort-Managers im Browser werde der Secret Key zur Entschlüsselung der Daten vom Browser lokal (in LocalStorage) gespeichert. Man müsse diesen Weg gehen, da der Secret Key niemals auf die eigenen Server übertragen werden dürfe, nur so sei eine Ende-zu-Ende-Verschlüsselung sicherzustellen, schreibt ein 1Password-Entwickler.



Wird LocalStorage nun nach sieben Tagen vom Browser automatisch gelöscht, können Nutzer der Web-App von 1Password nicht mehr auf ihren "Tresor" mit den hinterlegen Zugangsdaten zugreifen, da dafür neben dem Master-Passwort auch der Secret Key erforderlich ist. Man versuche zwar, die eigenen Kunden zur Verwendung der nativen Apps zu bringen, es gebe aber eine Reihe an Nutzern, die rein auf die Web-App setzen – und dann ihren Secret Key unwiederbringlich verlieren können.

Die Web-App speichert zudem Zwei-Faktor-Authentifizierungs-Tokens und Einstellungen im LocalStorage. Wird dieser vom Browser gelöscht, müssen Nutzer ihre Zugangsdaten und den Zwei-Faktor-Code ständig erneut eingeben – und ihre Einstellungen wieder vornehmen.

Apple hat mit iOS und iPadOS 13.4 sowie Safari 13.1 die integrierte Anti-Tracking-Technik ausgebaut, dazu gehört nun eine komplette Blockade von Third-Party-Cookies. Zugleich hat der Konzern ohne Vorankündigung die bislang schon für First-Party-Cookies bestehende 7-Tages-Obergrenze auf lokale Speichermöglichkeiten des Browsers ausgedehnt, dadurch erfolgt eine automatische Löschung der von Webseiten genutzten Speicherstellen wie LocalStorage sowie Indexed DB, SessionStorage und Service Worker Registrations.



Es sei nicht das Ziel des Tracking-Schutzes, Daten von Web-Apps zu löschen, schreibt Apples WebKit-Team. Von Datenlöschung betroffene Entwickler sollten sich deshalb umgehend an das Unternehmen wenden. Web-Apps, die iOS-Nutzer zum Homescreen hinzufügen, sollen zudem ihren eigenen, unabhängigen 7-Tages-Counter haben – die Nutzung der App setze den Timer dann zurück. Apple habe damit Web-Apps, die auch Offline funktionieren können, praktisch "gekillt", kommentiert der Entwickler Aral Balkan, er hoffe, dass Apple die Funktion wieder rückgängig mache. Der Konzern zwinge Entwickler so zu nativen Apps – und damit in den kontrollierten und abgeschotteten App Store.

