Apple está prestes a tornar o Hide My Email inútil

 (arseniyshestakov.com)
1 pontos por GN⁺ 18 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • Os aliases do Sign in with Apple e do iCloud+ Hide My Email passarão a ser emitidos no subdomínio @private.icloud.com
  • Com essa mudança, os serviços poderão bloquear com mais facilidade apenas os aliases de relay, sem afetar a caixa de entrada comum do iCloud
  • Antes, o custo de bloquear aliases do iCloud era alto por causa do suporte da Apple e de um certo grau de negação plausível
  • Muitos serviços podem deixar de aceitar esses endereços de e-mail, como já fazem com caixas de e-mail temporárias gratuitas
  • Usuários do iCloud+ e do Hide My Email ainda têm tempo para criar mais aliases @icloud.com antes da aplicação da mudança, e o limite de criação é de pelo menos 30 por hora

Mudança principal

  • A Apple publicou no Apple Developer News o anúncio de novos domínios para o Sign in with Apple e o iCloud+ Hide My Email
  • Daqui para frente, tanto os aliases do Sign in with Apple quanto os do Hide My Email serão emitidos no subdomínio @private.icloud.com
  • Nessa estrutura, fica mais fácil bloquear todos os aliases sem afetar caixas de e-mail não relay do iCloud Mail

Privacidade e impacto para os usuários

  • Essa mudança pode ser um grande golpe para a privacidade no iCloud
    • Antes, o custo de bloquear aliases do iCloud era alto por causa do suporte da Apple e de um certo grau de negação plausível
    • O novo subdomínio distingue os aliases com mais clareza, tornando mais fácil para os serviços recusá-los
  • Muitos serviços podem deixar de aceitar e-mails @private.icloud.com, assim como rejeitam caixas de e-mail temporárias gratuitas
  • É apresentada a esperança de que a Apple reconsidere essa decisão
  • Usuários do iCloud+ e do Hide My Email ainda têm tempo para gerar mais aliases @icloud.com, já que a mudança ainda não foi aplicada
    • O limite de velocidade para criação de aliases é de pelo menos 30 por hora

Leituras relacionadas

1 comentários

 
GN⁺ 18 시간 전
Comentários do Hacker News

  • Se você usa iCloud+ e Hide My Email, a mudança ainda não foi aplicada, e o limite de criação de aliases ainda é de pelo menos 30 por hora, então ainda dá para criar mais aliases @icloud.com agora
    Um dos motivos para usar o Hide My Email era que ele tornava a privacidade sem complicação; ter que criar um sistema para gerar endereços com antecedência e catalogá-los para usar depois é bem incômodo

    • Eu já tenho dezenas, então provavelmente ainda vou conseguir continuar reutilizando, mas ter um para cada site é bem útil porque, quando começar a chegar spam em um endereço do Hide My Email, dá para saber qual site vazou
    • Se você confia em outra empresa para cuidar do encaminhamento de e-mail, montar algo parecido por conta própria certamente dá menos trabalho
    • Ainda assim, por via das dúvidas, criei alguns, e outros hackers podem fazer o mesmo se quiserem
      O iCloud+ era o melhor serviço por US$ 1 por mês, oferecendo e-mail com domínio personalizado, aliases de e-mail e 100 GB de armazenamento em nuvem com criptografia de ponta a ponta
      Se eu visse isso sendo enshittificado sem motivo, naturalmente ficaria decepcionado
    • Precisamos de um script que crie aliases por data para os próximos 10 anos, para que seja possível usar um e-mail por dia

  • Se um site me bloquear por eu usar um e-mail amigável à privacidade, eu não quero ter nada a ver com esse site

    • Verdade, mas infelizmente isso não é um princípio que sempre dá para aplicar
      Há pouco tempo, na Itália, precisei usar um estacionamento público pago administrado pelo município, e não havia outro estacionamento, pago ou gratuito, a menos de 30 minutos a pé
      Não era um app do governo italiano, mas eu tive que baixar e me cadastrar em um app de terceiros parceiro, e numa situação dessas, mesmo que você “não queira ter nada a ver com esse site ou app”, acaba não conseguindo estacionar
    • Muitas vezes não há alternativa adequada, e você acaba dependente de um provedor específico
    • Eu compro com frequência domínios que acho engraçados e configuro todos os e-mails para serem encaminhados para minha conta principal
      É muito fácil configurar no Cloudflare e, quando o domínio expira depois de um ano, o spam também desaparece
    • Passei por isso com uma operadora MVNO
      Eles não gostavam de domínios de e-mail pessoais, como vários endereços .net e .org, então tive que insistir com o suporte até que adicionassem manualmente
      Depois de adicionado, a equipe de marketing passou a me mandar e-mails para o meu domínio pessoal happily. Pode virar um problema algum dia, mas o objetivo final de qualquer forma é me livrar do celular
    • Concordo totalmente. Fico curioso se alguém aqui realmente já passou por isso
      O truque dos aliases com sinal de mais do Gmail é amplamente conhecido há muito tempo e, até onde eu sei, ainda funciona bem
      Do ponto de vista do site, seria bem fácil bloquear o + em endereços do Gmail ou extrair o e-mail real

  • Para fazer algo parecido sem a Apple, dá para comprar ou conseguir um domínio barato, criar um subdomínio e aceitar/encaminhar todos os e-mails que chegarem nesse subdomínio
    Por exemplo, usar nytimes@mailsub.example.com -> jono@gmail, anything-else@mailsub.example.com -> jono@gmail; na prática, você nem precisa criar aliases antecipadamente

    • Isso vira problema se alguém descobrir a estrutura e começar a mandar spam para {random}@domain.tld
      Aí você tem que sentar e criar aliases reais para cada endereço de e-mail que já usou, e parar de usar encaminhamento catch-all
      Além disso, usar o próprio domínio reduz a privacidade, o que aumenta a chance de golpes direcionados ou phishing. Golpes direcionados são justamente um dos tipos aos quais somos mais vulneráveis
      Não estou dizendo que esse método é ruim, eu mesmo uso, mas a questão não é tão simples assim
      Com o iCloud, esse problema é resolvido, mas surge o risco de a conta ser suspensa e você perder acesso a esses e-mails
      Talvez a melhor abordagem seja montar com amigos um domínio de e-mail dedicado e conectá-lo a algo como o SimpleLogin, mas isso fica complexo rapidinho
    • Eu também faço isso
      Só fica estranho quando tenho que explicar pessoalmente ou por telefone que o e-mail de cliente é [their_business_name]@my_weird_domain.tld
      Normalmente as pessoas só concordam com a cabeça
      Outra desvantagem é que só há encaminhamento de entrada. Seria bom poder fazer replies por proxy sem precisar criar uma nova caixa de entrada e caixa de saída completas
    • Se o servidor de encaminhamento de e-mail não suportar SRS, o Gmail bloqueia mensagens que falham no alinhamento SPF/DMARC
    • Por causa de SPF/DMARC/DKIM, hoje isso ficou mais complicado no geral
      Há também muitos agentes de transferência de e-mail que simplesmente não entregam a mensagem se nem tudo estiver configurado corretamente
    • Uso assim há anos e funciona bem, além de ser divertido descobrir quem vende meus e-mails
      Mas é essencial manter bons registros
      Se você for recuperar uma conta e não lembrar qual e-mail personalizado usou, a situação fica realmente complicada

  • Resumindo, isso significa que agora tanto o Sign in with Apple quanto os aliases do Hide My Email são emitidos sob o subdomínio @private.icloud.com
    Assim fica muito mais fácil bloquear todos os aliases sem afetar as caixas de correio normais do iCloud Mail que não são de relay
    Mas não entendo bem por que fica mais fácil bloquear tudo de uma vez se Sign in with Apple e Hide My Email estiverem no mesmo domínio; parece que deveria ficar mais difícil, não?

    • Antes, o email tinha o formato me@icloud.com, que é o padrão para todos os usuários da Apple
      Não havia como distinguir entre um email comum e um email privado gerado
      Agora, como vira blah@private.icloud.com, fica fácil bloquear emails privados gerados, que dificultam vincular logins entre serviços
      Não está claro por que a Apple escolheria algo tão desfavorável para si mesma. Espero que Ternus não esteja alinhando isso numa direção contrária à privacidade
    • Antes, ao usar esse serviço, a Apple gerava (something)@icloud.com
      Agora passa a usar (something)@private.icloud.com, então bloquear o subdomínio inteiro de pessoas que “se escondem” por padrão com esse serviço se torna imediatamente possível
      É parecido com bloquear anondaddy ou simplelogin, mas não protonmail
    • Meu palpite é que antes tanto contas com alias quanto sem alias usavam @icloud.com
      Como dava para reservar um endereço de email normal do iCloud, como ao criar uma conta no Gmail, proibir todo o iCloud também bloqueava clientes Apple que não usavam alias
      Ainda assim, não tenho certeza se os lugares que queriam bloquear aliases já não conseguiam fazer isso. Os emails com alias têm aparência estranha o suficiente para que, aceitando alguns falsos positivos, provavelmente já desse para barrá-los

  • Dizer que ficou “inútil” é exagero
    Se um site bloqueia emails de relay privado, então desde o início ele já teria recebido meu email temporário
    O relay privado serve para usar em sites dos quais você quer receber novidades, mas como proteção caso eles sejam hackeados depois

    • Sim. Uma empresa razoável não vai proibir emails desse subdomínio

  • Por outro lado, quem bloquear private.icloud.com também vai bloquear a capacidade de fazer SSO com a Apple, se isolando do ecossistema da Apple

    • Não necessariamente
      Basta permitir private.icloud.com apenas quando a pessoa estiver usando o SSO da Apple
      Dá para não aceitar endereços private.icloud.com quando alguém tentar criar uma conta sem usar o Apple SSO

  • Se um site realmente quisesse, isso já era fácil de fazer. Bastava detectar os padrões usados
    Ainda assim, concordo que é uma mudança inútil
    Por exemplo, algo como heave_balks_0g@icloud.com
    Isso não deveria afetar muito o Sign in with Apple, porque os sites já suportam explicitamente essa função
    Alias de email é mais complicado. Você quer se misturar ao grupo de usuários para proteger a privacidade, mas aí fica preso àquele ecossistema; um domínio sob seu próprio controle evita esse vínculo, mas aí você perde a anonimidade da multidão

    • Nem todos os aliases gerados têm esse formato; alguns parecem viods01crew@icloud.com ou methyl.brick1h@icloud.com
      De qualquer forma, o fato de alguns serviços proibirem aliases não é motivo para, em vez de melhorar, tornar isso totalmente inútil
      A Apple é uma das poucas empresas que têm participação de mercado suficiente para impor esse problema
    • Sites com vontade de fazer isso já estão fazendo na prática
      Só não sei como eles identificam isso hoje

  • Uso aliases do Proton em quase todo lugar
    Claro, não em todo lugar; há vários sites que não aceitam endereços passmail.net
    Então é bem fácil imaginar que esse recurso possa se tornar inútil em pelo menos alguns sites
    Para constar, só uso esses aliases em sites onde não me importo de perder o login. Caso contrário, isso vira o pior tipo de lock-in
    Seria ótimo se eu pudesse escolher aliases no meu próprio domínio secundário. Aí pelo menos daria para migrar com wildcard ou com uma lista exportada

    • Dá para criar aliases personalizados no seu próprio domínio
      Eu faço isso para todos os meus logins e estou migrando até os emails antigos para aliases em domínio personalizado

  • A maioria dos meus endereços de relay do iCloud já é @privaterelay.appleid.com e sempre funcionou perfeitamente
    Então não me parece que isso vá mudar tão cedo

    • Esse domínio é usado só para o Sign in with Apple

  • Pessoalmente, o Hide My Email me prende mais ao ecossistema da Apple do que até o iMessage. Mas sou usuário europeu

    • Sério? Eu uso principalmente o Hide My Email sem integração com o ecossistema da Apple
      Crio o novo email no icloud.com, copio e colo no formulário de login e salvo no 1Password
    • É uma estrutura frágil
      Ou você continua cliente do iCloud para sempre, ou centenas de logins podem quebrar