Android System WebView: deaktivieren oder Datenschutz gewährleisten?

[micmen]

Ich hoffe, ich bin hier nicht auf dem falschem Dampfer...
Ich erschrecke immer, wenn ich in irgendeiner App plötzlich Cookie-Fragen gestellt bekomme. Ich schließe die App dann sofort und hoffe, daß noch keine Cookies gespeichert wurden.
Sehr mageres Datenschutz-Konzept, ich weiß...

Bei meiner Browser-App (FireFox) weiß ich, wie ich hinterher allen Spionagemüll wirder gekillt bekomme (leider fehlt unter Android auch nach wie vor ein Add-on wie "Self-Destructing Cookies" oder "Cookie AutoDelete"), aber wenn irgendeine sonstige App Schweinereien macht, habe ich keine Ahnung, wie ich hinterher meinen Datenschutz wiederherstelle.
Jetzt bin ich wiedermal auf Android System WebView gestoßen und habe erfahren, das soll irgendwie mit der Browser-App Chrome verwandt sein, und die hat ja vermutlich auch solche Löschfunktionen wie andere Browser? Und Sicherheits-Einstellungen, was man erlaubt und was nicht? Ich kenne Chrome nicht, weder in einer Windows-, noch einer Android-Version, um alles von Google mache ich den (für mich) größtmöglichen Bogen.

• Ist das dieses Element Android System WebView, das über andere Apps die Daten-Schweinereien begeht mit Speichern von Cookies und was weiß ich noch für Daten?
• Wenn ja, wie kommt man an diese Spionagedaten heran, wie wird man die wieder los, nachdem eine App www-Zugriffe angestoßen hat?
• Muß man evtl. nur dafür die Browser-App Chrome installieren, um das bedienen zu können, weil man nur damit die Datenschutz-Kontrolle über das hat, was WebView an Material sammelt?

danke!

 

[DwainZwerg]

Hallo @micmen ,
Android System Web View ist ein wichtiger Bestandteil des Android Systems; ohne einem System Web View werden viele Programme nicht funktionieren (Wikipedia, Discord,...). Einige Androidapps sind letztlich nur spezielle Bedienoberflächen, die eine vereinfachte Bedienung der mobilen Websites ermöglichen. Der „Browser“, der von diesen Apps aufgerufen werden, ist ein System WebView. Prinzipiell gibt es auch ein nicht chromiumbasiertes Sytem WebView: Der Gecko View von Firefox. Erstens hat er ein Nightlystadium, wenn ich richtig informiert bin, zweitens muss er erst über die erweiterten Einstellungen aktiviert werden und drittens ist er nicht als Ersatz für ein chromiumbasiertes System WebView gedacht und auch nicht so zu verstehen. Kaum bis keine Apps unterstützen GeckoView, da sie ja die Chromiumvariante unterstützen.
Glücklicherweise gibt es noch auf zwei weitere chromiumbasierte System WebViews. Den OpenSource Chromiumwebview der Android Developers (also letzlich auch von Google, nur die „Rohvariante“ mit etwas weniger Googlezeugs) und die echte Alternative, den System WebView von Bromite, der natürlich trotzdem ein Fork des OpenSource Chromiumwebview der Android Developers ist (installiere dir F-Droid (falls noch nicht geschehen und füge das Bomite Repo hinzu, um anschließend den WebView runterzuladen)).
Anschließend kannst du unter den Entwickleroptionen (mehrere Male unter System / Telefoninfo / Über das Telefon → Status / Softwareinformationen auf die Buildnummer klicken) unter „WebView-Implementierung“ ein WebView oder auch direkt einen evtl. kompatiblen chromiumbasierten Browser (wie z.B. Ecosia, Google Chrome, Open Source Chromium der Android Developers, Bromite, Fork des Chromium von Bromite , Brave (aber nicht Firefox (die kochen ja mit ihrem komischen GeckoView ihr eigenes Süppchen))) auswählen.
Ich hoffe, ich konnte dir helfen.
LG,
Dwain

 

[micmen]

Ich hoffe, ich konnte dir helfen.

Hi,
also alles sehr interessant!
Allerdings habe ich den Eindruck, daß darin keine meiner drei Fragen beantwortet wurde?
oder übersehe ich da etwas...

F-Droid benutze ich seit ewigen Zeiten, ja - wo unterstützt, update ich Apps dort statt mit Google Play. Und für den MPE brauche ich auch immer USB-Debugging und daher auch aktivierte Entwickleroptionen.
Aber was genau habe ich dann anders, wenn ich den WebView von Bomite installiere/benutze (und geht das ohne Root?)? Hat der eine Oberfläche, um Cookies, etc. löschen zu können, etc. (zweite meiner drei Fragen)?

Über Antworten auf meine drei Fragen würde ich mich noch immer freuen, danke!

 

[chrs267]

@micmen Android System WebView ist ein Systemdienst, der weder bedient noch ausgewechselt werden kann. Apps rufen diesen Dienst auf, um Webinhalte darstellen zu können. Dieser Dienst speichert nicht die Daten jeder App, die ihn benutzt. Die Daten werden von der App selber gespeichert.

Es weiß ja auch keiner, ob du Chrome als WebView benutzt oder die App Android System WebView selber.

 

[rene3006]

Das Webview ist eine Systemkomponente wie schon erwähnt.
Damit werden von Apps Webinhalte angezeigt wie HTML usw.
Für die cookies kann man jeweils im Browser
Im Chrome

 

[micmen]

danke für die Rückmeldungen - und ich will dann vorsichtshalber echt nochmal meine Fragen wiederholen (möglicherweise ist die erste jetzt durch chrs267 beantwortet, aber da bin ich mir nicht sicher):

• Ist das dieses Element Android System WebView, das über andere Apps die Daten-Schweinereien begeht mit Speichern von Cookies und was weiß ich noch für Daten?
• Wenn ja, wie kommt man an diese Spionagedaten heran, wie wird man die wieder los, nachdem eine App www-Zugriffe angestoßen hat?
• Muß man evtl. nur dafür die Browser-App Chrome installieren, um das bedienen zu können, weil man nur damit die Datenschutz-Kontrolle über das hat, was WebView an Material sammelt?

Hintergrund ist klar, dachte ich:
Wenn ich mit einer Browser-App www-Zugriffe mache, dann habe ich in dieser App vorher eingestellt, was sie erlaubt und was nicht, und ich kann jederzeit alles manuell löschen, was ich nicht gespeichert haben möchte.
Irgendwelche "x-beliebigen" Apps haben aber (soweit ich das geprüft habe) nichts in den Einstellungen, womit ich bestimmen kann, welche Cookies akzeptiert werden sollen und welche nicht, oder ob Verläufe oder Seitendaten gespeichert werden dürfen, und ich kann auch nicht manuell ein Löschen solcher Daten anstoßen.

Android System WebView ist ein Systemdienst, der weder bedient noch ausgewechselt werden kann.
Dieser Dienst speichert nicht die Daten jeder App, die ihn benutzt. Die Daten werden von der App selber gespeichert.

Es weiß ja auch keiner, ob du Chrome als WebView benutzt oder die App Android System WebView selber.

Verstehe ich das richtig (weil das wäre ja ein krasses Sicherheitsloch bei Android!), daß WebView mit Cookies, Tracking, etc. gar nichts zu tun hat, sondern jede App "heimlich" all das speichert, ohne daß der User irgendeine Möglichkeit hat, diese mitunter Datenschutz-kritischen Sachen auch wieder von seinem Gerät zu löschen? Man müßte dazu nach jedem (bemerkten...) www-Zugriff die Daten der App löschen, womit man aber jedesmal alles verliert wie z.B. die persönliche Konfiguration?

Für die cookies kann man jeweils im Browser
Im Chrome

da war wohl was abgeschnitten?
Ich interpretiere das so, daß ich mit meiner 3. Frage Recht habe und all das, was WebView speichern läßt, über die Browser-App Chrome erreicht werden kann (würde dann aber im Widerspruch zu dem von chrs267 geschriebenen stehen).

danke!

 

[chrs267]

@micmen Von welchen Cookies sprechen wir hier überhaupt? Welche App, die kein Browser ist, hat was mit Cookies zu tun? Verstehe ich nicht.

Nochmals: WebView ist der Dienst, der es ALLEN Apps ermöglicht, Webinhalte darzustellen. Das gilt für alle Apps, die keine eigene WebView-Komponente haben. Und WebView ist auch nicht über Chrome bedienbar. Chrome ist eine App, die nicht nur eine eigene WebView-Komponente hat, sondern diese auch systemweit bereitstellt. Was WebView anzeigt, wird nicht in WebView gespeichert, deshalb kann es auch nicht in Chrome gelöscht werden. WebView arbeitet nicht mit Cachedaten, um andere Apps schneller anzuzeigen oder deren Daten bereitzustellen.
Genauso wenig wie ein USB-Port irgendwelche Daten der damit verbundenen Geräte ablegt, speichert auch WebView keine Daten der Webinhalte. Die sind natürlich in der jeweiligen App hinterlegt.

 

[swa00]

@micmen

Wie schon weiter oben bereits erklärt, ist der WebView eine System-Komponente und verwaltet selbständig KEINE Cookies oder was auch immer von sich selbst aus.
Der Webview ist schlichtweg eine Program-Bibliothek, die nahezu jede App einbinden kann. (ChromiumClient)
https://developer.android.com/reference/android/webkit/WebView


Der Entwickler einer App bestimmt dann, was erlaubt ist, wie groß z.b. der Cache usw. gesetzt wird.
Cookies/Cache werden dann im Shared Directory von der jeweiligen App verwaltet.
(Dort kommt man ohne root-Access als User nicht heran)

Ergo : Jede App, die du benutzt und den ChromiumClient eingebunden hat, ist für deine sogenannten "Schweinereien"
eigenständig zuständig.

Hier einmal ein Beispiel der "hidden" directories auf Entwicklerbasis eines Paketes

 

[micmen]

Von welchen Cookies sprechen wir hier überhaupt? Welche App, die kein Browser ist, hat was mit Cookies zu tun? Verstehe ich nicht.

Es passiert doch bei Verwendung aller möglichen Apps, daß bei Tipp auf einen "Link" (oder wie immer man so einen aktiven Bereich nennt) plötzlich eine Aufforderung kommt, Cookies zuzustimmen. Offensichtlich zeigt diese App in dem Moment etwas an, was sie von einer "externen" Quelle holt. Aber man ist immer noch in der App, die Bowser-App kommt nicht in die Liste aktiver Apps.

WebView ist der Dienst, der es ALLEN Apps ermöglicht, Webinhalte darzustellen. Das gilt für alle Apps, die keine eigene WebView-Komponente haben.

ja, eben - paßt doch zu dem von mir geschriebenen?

Und WebView ist auch nicht über Chrome bedienbar. Chrome ist eine App, die nicht nur eine eigene WebView-Komponente hat, sondern diese auch systemweit bereitstellt.

verstehe ich das dann vielleicht so richtig:
Behält man den original Android System WebView, dann hat der mit einem möglicherweiser installierten Chrome-Browser-App nichts zu tun. Installiert man aber diese eine Browser-App und sorgt (wie auch immer...) dafür, daß dessen WebView-Komponente von allen Apps verwendet wird, DANN kommt man auch über die Chrome-App an alle Cookies ran, die dessen WebView über andere Apps gespeichert hat?

Beiträge automatisch zusammengeführt: 26.08.2022

Der Entwickler einer App bestimmt dann, was erlaubt ist, wie groß z.b. der Cache usw. gesetzt wird.
Cookies/Cache werden dann im Shared Directory von der jeweiligen App verwaltet.

Ergo : die App, die du benutzt und den ChromiumClient benutzt ist für deine sogenannten "Schweinereien" zuständig.

Aber das ist doch dann ein gewaltiges Sicherheitsloch, das Android da hat? Daß Google Apps in den Store läßt, denen solche Rumpf-Sicherheitsfeatures fehlen, die es schon seit Geburt des WWW gibt?

Hier einmal ein Beispiel der "hidden" directories auf Entwicklerbasis

ja, eben - eine Wetter-App ist ein gutes Beispiel für diese Problematik
aber wie wird der User Cookies wieder los, die die Wetter-App gespeichert hat, ohne alle Daten der App (Orts-Favoriten, etc.) zu verlieren?
bei manchen Apps sind das ein Haufen von Daten, die dabei verloren gingen und einem hinterher fehlen

 

[chrs267]

verstehe ich das dann vielleicht so richtig:

Nein, wurde hier doch in jedem Post min. 1x erwähnt. Chrome ist ein Browser und der legt Cookies für sich als Browser an. Das war es und da gibt es nix über Chrome zu steuern bei anderen Apps, die WebView nutzen.
Übrigens: Ob Chrome oder Android System WebView genutzt wird, ist im Framework unter /system/framework/framework-res.apk res/xml/config_webview_packages.xml hinterlegt und nicht durch den User wählbar. Auch nicht in den Entwickleroptionen.

Jede App, die WebView nutzt, hat im appeigenen Verzeichnis /data/data/PAKETNAME (root) einen separaten Ordner namens app_webview für die Browserkonfiguration und unter ~/cache/WebView die Daten der Webinhalte gespeichert.

Beiträge automatisch zusammengeführt: 26.08.2022

aber wie wird der User Cookies wieder los, die die Wetter-App gespeichert hat,

Auf welchen Seiten surfst du denn mit deiner Wetterapp?

 

[swa00]

Aber das ist doch dann ein gewaltiges Sicherheitsloch, das Android da hat? Daß Google Apps in den Store läßt, denen solche Rumpf-Sicherheitsfeatures fehlen, die es schon seit Geburt des WWW gibt?

Bei allem Respekt :
Also da bist du irgendwie auf einem ganz falschen Dampfer - das ist mir bereits in Deinen vorherigen Post aufgefallen
Welches Sicherheitsloch soll das denn sein ? Könntest du uns das bitte einmal an einem technischen Beispiel erklären ?

Falls du jetzt z.b. einen "Virus" anführen möchtest - wie soll dieser denn auf dem System "eingeschleust" werden ?
Was soll das denn sein ? Ein Script ? geht nicht - eine App ? geht auch nicht ....

aber wie wird der User Cookies wieder los, die die Wetter-App gespeichert hat, ohne alle Daten der App (Orts-Favoriten, etc.) zu verlieren?
bei manchen Apps sind das ein Haufen von Daten, die dabei verloren gingen und einem hinterher fehlen

Das haben wir in unserer Wetterapp so gelöst , dass der Benutzer einen extra Menupunkt hat, um alle Cachedaten zu löschen.
(Für so Kandidaten wie dich )

Und nochmal - Es handelt sich NICHT um einen Browser, sondern um ein Anzeigefenster, welches den Webinhalt unserer Server anzeigt. Da braucht man auch keine Cookies


Das ist aber nicht relevant, denn die Cachedaten für das Wetter haben ja einen Sinn und Zweck und sollen den flüssigen Ablauf bei der Bedienung der App sicherstellen.
Bsp : Der User muss sich nicht nochmal die Karte mit Windbewegungen laden , wenn die eh schon vor 5 Min geladen worden sind

 

[micmen]

Ich hoffe, ich bin hier nicht auf dem falschem Dampfer...

Bei allem Respekt :
Also da bist du irgendwie auf einem ganz falschen Dampfer

na, das sollte doch eine solide Basis an Übereinstimmung sein, auf der aufbauend sich arbeiten läßt!


Ich meine nicht Virus oder was immer, sondern das, wovon ich geschrieben hatte... Cookies, Inhalte, Verlauf, ...
Aber in erster Linie Cookies. Mit Domain-übergreifenden Cookies, wie sie viele Anbieter von WWW-Inhalten über Scripts irgendwelcher Dienstleister einbinden, läßt sich einiges an Datenschutz-kritischen Dingen anstellen.
Jede (mir bekannte) Browser-Software hat darum die Funktionalität, Cookies manuell löschen lassen zu können.

Ok, dann war die von Dir gemeinte Wetter-App wohl ein schlechtes Beispiel, weil die keine Cookies von fremden WWW-Seiten speichert, vermutlich gar keine "ganzen" WWW-Seiten einbindet, sondern nur isolierte Daten zieht...

Die Problematik ist doch eigentlich sehr einfach?
Jede Browser-App erlaubt in den Einstellungen, Cookies zu löschen oder nach bestimmten Kriterien gar nicht erst zuzulassen, aber wenn eine nicht-Browser-App Cookies speichern läßt, hat der User keine Ahnung, wie er die wieder loswerden kann.

Auf welchen Seiten surfst du denn mit deiner Wetterapp?

Das erfährt man als User ja niemals - die Apps haben ja keine Adreßleiste. Die ziehen sich isoliert Content aus einer WWW-Seite und stellen den in ihrem App-Fenster dar, man erfährt nie, aus welcher Quelle das kommt.
Du tippst da auf was von wegen Schäden durch ein Unwetter in Buxtehude und auf einmal wirst Du gefragt, ob Du ausnahmslos alle Cookies akzeptierst oder nur ein paar.

 

[swa00]

Ich meine nicht Virus oder was immer, sondern das, wovon ich geschrieben hatte... Cookies, Inhalte, Verlauf,

Puhhhh, ich glaube ich muss doch etwas ausholen

Also, bleiben wir mal bei den Cookies. (Äquivalent zu Verlauf und Inhalt)
Cookies werden z.b eingesetzt um dein Surfverhalten in einem Browsers zu dokumentieren (nach DSVGO)
Beispiel : Du interessierst dich für einen bestimmten Artikel und der soll dir bei einer artfremden Seite direkt vor die Augen geklatscht werden , damit du nun endlich das verdammte Ding kaufst

Diese Cookies sind dann NICHT Systmemweit durch den Webview gespeichert , sondern im Cache des jeweiligen Browsers, die Diese verwaltet. Die bekommst du durch einen Menupunkt in der App oder Löschen des Caches weg.

Nehmen wir jetzt die WetterApp als Beispiel - diese benutzt für einige Funktionen auch den Webview.
Auch Diese hat ihren eigenen "Cache" - hat also KEINEN Zugriff auf deinen Artikel oder Verlauf deines Browsers.
Sie hat auch KEINE Cookie-Verwaltung

Wenn der Zugriff auf den o.g. Browser gegeben wäre, dann würden wir uns sogar mächtig freuen , denn dann würden wir den Artikel direkt unter das Sonnensymbol zaubern und jede Menge Geld damit verdienen. Spätestens JETZT müsstest du den Artikel unbedingt haben wollen

Jede Browser-App erlaubt in den Einstellungen, Cookies zu löschen oder nach bestimmten Kriterien gar nicht erst zuzulassen, aber wenn eine nicht-Browser-App Cookies speichern läßt, hat der User keine Ahnung, wie er die wieder loswerden kann.

Warum soll eine App, die KEIN Browser ist und z.b. eine Bedienungsanleitung einer App, AGB's etc mit fest im Source-Code verankerten Links (also nicht frei editierbar durch den Nutzer) die Möglichkeit bieten , deren Cache zu löschen ?
(Cookies werden dabei wie bereits erwähnt - nicht verwendet)


Welchen Zweck soll das haben ?

Soll der Nutzer für Ein und den Gleichen Inhalt immer wieder einen Datentransfer verursachen und somit seine und die des Betreibers entstehenden Kosten in die Höhe treiben ?


Und zu deinen Bedenken "spionieren"

Wenn das so wäre, was hätten wir als Entwickler für Informationen ?
a) Eine IP des Providers wenn du im mobilen Netz bist (denn da hast du keine eigene IP)
b) Eventuell die IP deines Festnetzanschlusses - Wozu braucht man die ? Für nichts.

Ach ja , und das du unsere App benutzt - aber das wissen wir ja schon


So, und nun zum Schockmoment für Dich ( extra für das Wochenende)

Es gibt den sogenannten "Firebase"-Service von Google - Wenn, dann sollte Dir Dieser eher Sorgen bereiten .....

Den gibt es auf allen Geräten - auch auf den Sanktionierten ohne Google Services - z.b. Huawei
Dieser Service ist nahezu in jeder App implementiert und gibt uns Entwickler Informationen über Dich, dein Gerät und Deine Macken.

Darunter wären z.B. :
Dein verwendetes Gerät, dein Speicher, Deine Verbindung, Deine Einstellungen im Gerät und in der App, wie lange du wo auf welcher Seite in einer App verweilt hast, was dir als Eyecatcher ins Auge gesprungen ist und wo du drauf geklickt hast, wann du zurück gegangen bist, wann und wo ist die App abgestürzt etc - Ja dort sind selbst die Zeilen im Source code aufgeführt und ob du es nochmal versucht hast die App zu starten ----- Im Prinzip Alles.

Bevor du dir also grundsätzlich Gedanken über irgendwelche Cookies/Inhalte/Verlauf nach DSVGO machst , solltest du eher das Smartphone wegen Firebase auslassen :- ) Wäre im Übrigen auch bei Apple so - dort gilt das Gleiche in Grün

 

[DwainZwerg]

Übrigens: Ob Chrome oder Android System WebView genutzt wird, ist im Framework unter /system/framework/framework-res.apk res/xml/config_webview_packages.xml hinterlegt und nicht durch den User wählbar. Auch nicht in den Entwickleroptionen.

Zumindest bei Android 8.0.0 ging das noch ohne Root:

Das ist nur gerade nicht möglich, weil ich Chrome per ADB deinstalliert habe.
LG,
Dwain

 

[micmen]

Zumindest bei Android 8.0.0 ging das noch ohne Root:

Gerade nachgesehen, auch ich habe diesen Punkt. Allerdings ist bei mir "Android System WebView" der einzige Eintrag (Chrome habe ich nicht, ich habe den nicht deinstallierbaren Samsung-Browser und den FF), ich kann also nichts "verstellen".

Sorry, ich frage das ein letztes Mal ✌:
WENN ich die Browser-App Google Chrome installieren und dann bei dieser Implementierungs-Einstellung deren WebViewer auswählen würde, dann würden trotzdem alle Cookies in den isolierten Speichern der einzelnen Apps landen und wären für die App Chrome nicht erreichbar?

Ein "ja" reicht...

Cookies werden z.b eingesetzt um dein Surfverhalten in einem Browsers zu dokumentieren (nach DSVGO)
Beispiel: Du interessierst dich für einen bestimmten Artikel und der soll dir bei einer artfremden Seite direkt vor die Augen geklatscht werden , damit du nun endlich das verdammte Ding kaufst

Ich weiß. Bei mir ist das nicht so, weder am PC, noch am Handy, weil mein FF das alles weggrätscht. Aber wenn ich anderen über die Schulter schaue, erlebe ich diese großartige Ausgeburt von "KI": Hat eine Person 1x einen Staubsauger gekauft, dann hoffen irgendwelche Anbieter, daß diese Person 2 Wochen lang ständig neue Staubsauger kaufen möchte...
Aber genau das ist ja das kritische bei Domain-übergreifenden Cookies, "artfremde Seiten"...

Diese Cookies sind dann NICHT Systmemweit durch den Webview gespeichert , sondern im Cache des jeweiligen Browsers, die diese verwaltet. Die bekommst du durch einen Menupunkt in der App oder Löschen des Caches weg.

ja, da habe ich halt echt Verständnisschwierigkeiten...
Da diese Apps ja weder Browser-Apps sind, noch Browser-Funktionalitäten haben, so daß sie eben den WebView verwenden "müssen", was ist denn dann der "Cache des jeweiligen Browsers"?? Ist da mit "Browser" eine App gemeint, die wegen eben nicht vorhandener Browser-Funktionalitäten den WebView benutzt?
Eben mit dieser Logik kam ich ja auf den (falschen?) Dampfer, daß WebView alle diese Cookies in seinem Speicher ablegt...

Bleiben wir dann einmal bei der Wetterapp - diese benutzt für einige Funktionen auch den Webview.
Auch Diese hat ihren eigenen "Cache" - hat also KEINEN Zugriff auf deinen Artikel oder Verlauf deines Browsers.
Sie hat auch KEINE Cookie-Verwaltung

Damit ist gemeint, sie verwaltet "ihre" Cookies in ihrem App-Speicher, aber die Cookie-Verwaltung ist nicht so wie bei einer Browser-App durch den User bedienbar (Cookies löschen, nur bestimmte erlauben, etc.).

Wenn der Zugriff auf den o.g. Browser gegeben wäre, dann würden wir uns sogar mächtig freuen , denn dann würden wir den Artikel direkt unter das Sonnensymbol zaubern und jede Menge Geld damit verdienen.

Nicht verstanden, "Zugriff auf den Browser", und welcher ist überhaupt der "oben genannte" Browser?

Warum soll eine App, die KEIN Browser ist und z.b. eine Bedienungsanleitung einer App, AGB's etc mit fest im Source-Code verankerten Links (also nicht frei editierbar durch den Nutzer) die Möglichkeit bieten, deren Cache zu löschen?
(Cookies werden wie bereits erwähnt - nicht verwendet)

auch das verstehe ich nicht... Daß es bergeweise Apps gibt, die einen irgendwann ganz unvermittelt nach Cookies fragen, und deren Cookie-Dialog auch ständig anders aussieht (je nachdem, auf die WWW-Seiten welcher Domain sie da gerade "unsichtbar" zugreifen), ist ja nun Fakt.
Es ist ja einfach so, daß ein User diese Cookies genauso auch wieder löschen können sollte, wie er sie löschen könnte, wenn er die gleiche Seite über eine Browser-App besucht hätte.

Und zu deinen Bedenken "spionieren"
Wenn das so wäre, was hätten wir als Entwickler für Informationen?

nein, warum denn "Entwickler"?? Diese Daten bekommt doch der Betreiber der Seiten in seine Datenbank gelegt und kann sie von dort aus weiterverarbeiten? Da ist dann abgelegt, wann man auf welche Seite gegangen ist, welche Suchbegriffe, welche Filter, welche Sortierung man benutzt hat, im Prinzip alles an Informationen, die man auf den Seiten irgendwo über Formularfelder bedienen kann, sowie die Treffer, die man aufruft.

Und wenn der Anbieter der Seite für seine Cookies keine Scripts der eigenen Domain benutzt, sondern die eines externen Dienstleisters, der 100 Anbieter als Kunde hat, dann sind für Deine App alle diese Cookies von der gleichen Domain und werden bereitwillig geteilt. Was beim Besuch der Seite suizidberatung.de über die Scripts des Dienstleisters datenklau.com als Cookie gespeichert wurde, wird über die Scripts des Dienstleisters datenklau.com bereiteillig von der App ausgespuckt, wenn Du gerade auf kreditsofort.de bist - weil angefordert werden die Inhalte ja von der Domain datenklau.com, die vermeintlich sie ja auch "selbst" speichern lassen hatte.

So, und nun zum Schockmoment für Dich (extra für das Wochenende)

wie jetzt...??
Ich dachte, das alles oben WÄRE schon der Schock gewesen?


Ich werde mich über diesen sogenannten "Firebase"-Service von Google mal informieren...

danke

 

[micmen]

das wird jetzt immer schlimmer...
zeitlicher Zufall...
seit wenigen Tagen habe ich 2 Apps, die ich ständig wieder schließe nach dem Öffnen, weil sie ständig nach Cookies fragen

dass man aber über dieses Sicherheitsloch noch nirgendwo gelesen hat??

während ich über dieses Firebase Service noch nichts besorgniserregendes gesehen habe

 

[DwainZwerg]

Apps, die nach Cookies fragen, müssen nicht zwingend das Android System Web View nutzen, sondern könnten auch einen eigenen WebView nutzen, das wollte ich nur noch mal klarstellen …

 

[kurhaus_]

@micmen Cookies sind kein Sicherheitsloch. Wenn du sie nicht magst, deaktiviere sie oder nutze sie von Fall zu Fall nicht.

 

[Fulano]

dass man aber über dieses Sicherheitsloch noch nirgendwo gelesen hat??

Welches denn genau?
Jedenfalls sind wir weit weg von WebView.
Wenn du von

seit wenigen Tagen habe ich 2 Apps

schreibst, ist das eine "App Sache".

WENN ich die Browser-App Google Chrome installieren und dann bei dieser Implementierungs-Einstellung deren WebViewer auswählen würde, dann würden trotzdem alle Cookies in den isolierten Speichern der einzelnen Apps landen und wären für die App Chrome nicht erreichbar?

Nein. Das hat doch @swa00 bereits geschrieben. Chrome ist ein Browser. Wie Vivaldi, Soul, Firefox, und diverse andere. Was die mit Cookies machen, oder auch nicht, ist deren Sache...

Die Cookie die du akzeptierst, oder ablehnst, sammelt und verwaltet/speichert die entsprechende App, das muss nicht zwingend ein Browser sein. Nicht WebView!
WebView ist lediglich eine Schnittstelle.

Gruß

 

[micmen]

Apps, die nach Cookies fragen, müssen nicht zwingend das Android System Web View nutzen, sondern könnten auch einen eigenen WebView nutzen, das wollte ich nur noch mal klarstellen …

ah, danke, verstanden!

@micmen Cookies sind kein Sicherheitsloch. Wenn du sie nicht magst, deaktiviere sie oder nutze sie von Fall zu Fall nicht.

Das ist falsch, Cookies können sogar ein sehr ernstes Sicherheitsproblem sein - vor allen Dingen Domain-übergreifende Cookies. Cookies können problemlos verwendet werden, um persönliche, je nach Angebot eines Seitenbetreibers auch intimste Daten über einen User zu speichern.
Und das ist doch gerade die Sache, von der dieser Thread hier handelt: Wenn das keine Browser-App ist, die das Cookie-Handling erledigt, sondern "irgendeine" App, hat man das Handling Null unter Kontrolle. Zumindest habe ich bei noch keiner einzigen nicht-Browser-App, die plötzlich das Akzeptieren von Cookies bestätigt haben möchte, etwas gefunden, wie man die Cookies wieder los wird?

Die Cookie die du akzeptierst, oder ablehnst, sammelt und verwaltet/speichert die entsprechende App, das muss nicht zwingend ein Browser sein. Nicht WebView!

ja, merci, ich habe es jetzt verstanden


Und bedeutet das wirklich, daß Google in seinen Store Apps läßt, die ein derartiges Sicherheitsloch haben?
Und warum findet man nirgendwo Warnungen über diesen Datenschutz-Mangel?
Man ist quasi gezwungen, bei allen betroffenen Apps immer die (=alle...) App-Daten löschen zu lassen, nachdem man durch sie auf Infos aus einer Fremdanbieter-Website gelangt ist, die das Ablehnen aller Cookies nicht unterstützt?

Wie gesagt, "schütze" ich mich derzeit noch vor diesem Sicherheitsloch, indem ich eine App sofort schließe, wenn ich einen solchen Dialog angezeigt bekomme. Aber wer sagt schon, daß jeder Anbieter einen solchen Dialog bzw. Info anzeigen läßt...
Aber sowas ist doch kein Zustand...