refactor: Migration auf ManaWebShell + ManaTheme.paper aus mana-swift-* v1.6.0/v0.6.0

ManaWebShell aus mana-swift-ui v0.6.0 ersetzt den lokalen
`Sources/Features/WebShell/`-Ordner. WebShellCoordinator, WebShell-
View, WebShellScripts geloescht (~430 LOC). CookieBridge bleibt
lokal (App-spezifischer Cookie-SSO-Pfad fuer .mana.how), wandert
nach `Sources/Core/WebShell/CookieBridge.swift`.

`RootView.makeWebShellConfig()` baut Config mit Host-Whitelist
`zitare.com` + `www.zitare.com` + `*.mana.how`, ZitareTheme-Hints,
`syncDarkMode(localStorageKey: "zitare-mode")` und `hideElements`
fuer den zitare-web-Header.

ZitareTheme forwarded auf ManaTheme.paper aus mana-swift-core
v1.6.0 (~90 LOC weg, paper-Werte jetzt single-source in
`mana/packages/themes/src/variants/paper.css`).

AppConfig.userAgent als plattform-spezifischer Helper hinzu.

20/20 Unit-Tests gruen.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

Sources/Core/WebShell/CookieBridge.swift

@@ -0,0 +1,75 @@
+import Foundation
+import ManaCore
+import WebKit
+
+/// Reicht den mana-auth-JWT als Cookie an den `WKWebView` weiter, sodass
+/// eingeloggte `(app)`-Routen auf `zitare.mana.how` ohne zweiten Login
+/// erreichbar sind.
+///
+/// **Phase ζ-1: Skeleton.** Methoden existieren, werden aber heute
+/// nicht aufgerufen — bevor sie scharfgeschaltet werden, muss der
+/// Cookie-SSO-Pfad auf der Web-Seite (`zitare/apps/api/src/auth/`
+/// und `apps/zitare/src/lib/auth/token-helper.ts`) gegen einen
+/// *echten* mana-auth-Token End-to-End getestet sein (Verifikations-
+/// Lücke in `zitare/STATUS.md`).
+///
+/// **Phase ζ-3:** wird in `SubmitQuoteView` benutzt — vor dem POST
+/// gegen `zitare-api.mana.how` und vor dem Öffnen von
+/// `zitare.mana.how/me` im WebView.
+///
+/// **Cookie-Schema** (gespiegelt zu mana-auth, siehe
+/// `mana/services/mana-auth/src/auth/cookies.ts`):
+/// - Name: `mana.access` (JWT) und optional `mana.refresh` (Opaque)
+/// - Domain: `.mana.how` (App-Surface; **nicht** `.com`)
+/// - Path: `/`
+/// - Secure: true, HTTPOnly: false (WebView muss lesen können),
+///   SameSite: Lax
+enum CookieBridge {
+    /// Setzt den `mana.access`-Cookie im geteilten `WKHTTPCookieStore`,
+    /// wenn der `AuthClient` einen gültigen JWT hält. No-op sonst.
+    @MainActor
+    static func installManaAccess(from auth: AuthClient) async {
+        guard case .signedIn = auth.status, let token = currentAccessToken(from: auth) else {
+            Log.web.debug("CookieBridge: kein signedIn-Token, no-op")
+            return
+        }
+        guard let cookie = makeAccessCookie(token: token) else {
+            Log.web.warning("CookieBridge: konnte Cookie-Properties nicht bauen")
+            return
+        }
+        let store = WKWebsiteDataStore.default().httpCookieStore
+        await store.setCookie(cookie)
+        Log.web.info("CookieBridge: mana.access für .mana.how gesetzt")
+    }
+
+    /// Entfernt den `mana.access`-Cookie wieder — etwa nach Logout.
+    @MainActor
+    static func removeManaAccess() async {
+        let store = WKWebsiteDataStore.default().httpCookieStore
+        let cookies = await store.allCookies()
+        for cookie in cookies where cookie.name == "mana.access" {
+            await store.deleteCookie(cookie)
+        }
+        Log.web.info("CookieBridge: mana.access entfernt")
+    }
+
+    private static func currentAccessToken(from auth: AuthClient) -> String? {
+        // ManaCore hält den JWT im Keychain. In ζ-3 ersetzt durch die
+        // tatsächliche `auth.currentAccessToken()`-API; heute nur
+        // Skelett-Hook, damit Cookie-Setup und API in Reichweite sind.
+        // Linter beruhigen ohne unused warning:
+        _ = auth
+        return nil
+    }
+
+    private static func makeAccessCookie(token: String) -> HTTPCookie? {
+        HTTPCookie(properties: [
+            .name: "mana.access",
+            .value: token,
+            .domain: ".mana.how",
+            .path: "/",
+            .secure: true,
+            .sameSitePolicy: HTTPCookieStringPolicy.sameSiteLax
+        ])
+    }
+}