Dans l'objectif de renforcer la confidentialité des internautes, Apple ne vient pas seulement de bloquer par défaut tous les cookies tiers dans son navigateur, elle a également procédé à un autre changement qui a de lourdes répercussions sur les web apps.
Pour continuer à tracer les internautes en dépit des protections de plus en plus strictes mises en place par les navigateurs sur les cookies, les publicitaires utilisent d'autres méthodes. L'une d'entre elles consiste à placer les scripts de tierce partie dans le stockage local dévolu à chaque site web.
« Si vous jetez un œil à l'espace de stockage local de beaucoup de sites aujourd'hui, vous verrez que c'est rempli de données prenant la forme de "tracker-marque-identifiant utilisateur", explique John Wilander, le créateur du mécanisme de « prévention intelligente contre le pistage » de Safari. Pire encore, des API comme LocalStorage n'ont aucune fonction d'expiration. Cela signifie que les sites web ne peuvent même pas demander aux navigateurs de limiter la durée de conservation des données. »
C'est pour cette raison qu'Apple a décidé d'appliquer la même restriction au stockage local des sites web qu'aux cookies dans Safari 13.1 et sur iOS 13.4 : les sites avec lesquels l'utilisateur n'a pas interagi dans Safari pendant une durée de sept jours verront leurs données automatiquement supprimées.
Une mesure qui a fait immédiatement bondir des développeurs, comme Aral Balkan, selon qui « Apple vient tout juste de tuer les web apps hors ligne ». Ce mécanisme qui vise à contrecarrer un usage abusif du stockage local des sites web se fait au détriment des usages légitimes.
Parmi les développeurs qui expriment leur effarement, il y a par exemple le créateur de 1Password, qui indique que ceux qui utilisent uniquement le gestionnaire de mots de passe dans Safari pourraient perdre leur Secret Key et par ricochet l'accès complet à leur compte. Autre exemple : vous créez une liste de courses sur cette web app. Si vous ne vous rendez pas sur ce site durant sept jours, votre liste de courses sera automatiquement effacée.
Face aux critiques, John Wilander a précisé que les sites web qui étaient ajoutés à l'écran d'accueil d'iOS n'étaient pas concernés par ce coup de balai. Une exception qui ne rassure pas les développeurs pour autant. D'une part, le nombre d'utilisateurs ajoutant des web apps sur l'écran d'accueil de leur iPhone/iPad est infime. D'autre part, cette possibilité n'existe même pas sur Mac.
Pour éviter les suppressions de données malencontreuses, l'une des solutions serait de désactiver l'effacement sur les sites auxquels l'internaute est connecté. C'est d'ailleurs un mécanisme poussé par Apple au W3C, mais pas encore adopté. De même, Apple promeut une nouvelle API, Storage Access, pour le stockage local sous le contrôle de l'utilisateur, mais elle est encore loin d'être standardisée.
Pour éviter les problèmes, le plus sage serait qu'Apple reporte sa restriction, le temps que les développeurs s'adaptent et que des solutions émergent.
