Apple está a punto de volver inútil Hide My Email

Opiniones en Hacker News

• Si usas iCloud+ y Hide My Email, el cambio todavía no se ha aplicado y el límite de creación de alias sigue siendo de al menos 30 por hora, así que todavía puedes crear más alias de @icloud.com ahora mismo
  Una de las razones para usar Hide My Email era que hacía que la privacidad no fuera una molestia, pero montar un sistema para generar direcciones por adelantado y listarlas para usarlas después es bastante engorroso

  • Ya tengo decenas, así que probablemente pueda seguir reutilizándolas, pero si tienes una por sitio, es bastante bueno poder saber qué sitio tuvo una filtración cuando empieza a llegar spam a una dirección de Hide My Email
  • Si te parece bien confiarle el reenvío de correo a otra empresa, claramente es menos complicado montar tú mismo un servicio parecido
  • Aun así, por si acaso, ya generé algunas, y otros hackers pueden hacer lo mismo si quieren
    iCloud+ era el mejor servicio por 1 dólar al mes, con correo de dominio personalizado, alias de correo y 100 GB de almacenamiento en la nube cifrado de extremo a extremo
    Si ves que lo enshittifican sin ninguna razón, obviamente da pena
  • Hace falta un script que cree alias con fecha para los próximos 10 años y te permita usar uno por día para el correo

• Si un sitio me bloquea por usar un correo amigable con mi privacidad, no quiero tener nada que ver con ese sitio

  • Sí, pero lamentablemente no es un principio que siempre se pueda aplicar
    Hace poco en Italia tuve que usar un estacionamiento público donde se pagaba la tarifa al municipio, y no había otro estacionamiento, ni de pago ni gratis, a menos de 30 minutos caminando
    No era una app del gobierno italiano, pero sí había que descargar una app de terceros afiliada y registrarse, y en una situación así, aunque digas “no quiero tener nada que ver con ese sitio o app”, igual te quedas sin poder estacionarte
  • A menudo hay casos en los que no tienes una alternativa adecuada y no te queda otra que depender de un proveedor específico
  • Suelo comprar dominios que me parecen graciosos y hacer que todo el correo se reenvíe a mi cuenta principal
    Configurarlo en Cloudflare es facilísimo, y cuando al año el dominio desaparece, el spam también desaparece
  • Me pasó con una operadora móvil MVNO
    No les gustaban los dominios de correo personales, por ejemplo varias direcciones .net y .org, así que insistí varias veces a soporte y al final lo agregaron manualmente
    Después de agregarlo, el equipo de marketing felizmente me mandaba correos a mi dominio personal. Algún día podría ser un problema, pero de todos modos el objetivo final es deshacerme del teléfono celular
  • Totalmente de acuerdo. Me pregunto si alguien realmente ha vivido algo así
    El truco de los alias con signo más de Gmail es ampliamente conocido desde hace mucho, y hasta donde sé todavía funciona bien
    Desde el punto de vista de un sitio web, también debería ser bastante fácil bloquear el + de una dirección de Gmail o extraer el correo real

• Para hacer algo parecido sin Apple, basta con comprar o conseguir un dominio barato, crear un subdominio y recibir para reenviar todo el correo que llegue a ese subdominio
  Por ejemplo, podrías usar nytimes@mailsub.example.com -> jono@gmail, anything-else@mailsub.example.com -> jono@gmail, y en realidad ni siquiera necesitas crear alias por adelantado

  • El problema aparece si alguien descubre la estructura y empieza a mandar spam a {random}@domain.tld
    En ese momento tienes que sentarte a crear alias reales para cada dirección de correo que ya usaste y desactivar el reenvío global (catch-all)
    Además, usar tu propio dominio debilita la privacidad, y eso aumenta la posibilidad de estafas dirigidas o phishing. Las estafas dirigidas son justo el tipo ante el que somos más vulnerables
    No digo que este método sea malo, yo mismo lo uso, pero no es un tema tan simple
    Con iCloud ese problema se resuelve, pero aparece el riesgo de que suspendan la cuenta y pierdas acceso a esos correos
    Probablemente la mejor opción sea montar con amigos un dominio de correo dedicado y conectarlo a algo como SimpleLogin, pero se complica rápido
  • Yo también hago esto
    Pero se siente raro cuando tengo que explicar en persona o por teléfono que mi correo para clientes es [their_business_name]@my_weird_domain.tld
    Normalmente solo asienten con la cabeza
    Otra desventaja es que solo reenvía correos entrantes. Estaría bien poder hacer proxy también para las respuestas sin tener que crear una bandeja de entrada y de salida completas nuevas
  • Si el servidor de reenvío de correo no soporta SRS, Gmail bloquea los mensajes que fallen la alineación de SPF/DMARC
  • Con SPF/DMARC/DKIM ahora las cosas se han vuelto más complejas en general
    También hay bastantes agentes de transferencia de correo que no entregan mensajes si la configuración no está completamente bien
  • Llevo años haciéndolo así y funciona bien, además es divertido ver quién vende mi correo
    Pero de verdad hay que llevar buen registro
    Si intentas recuperar una cuenta y no recuerdas qué correo personalizado usaste, de verdad se vuelve una pesadilla

• En resumen, ahora tanto Sign in with Apple como los alias de Hide My Email se emiten bajo el subdominio @private.icloud.com
  Eso hace mucho más fácil prohibir todos los alias sin afectar los buzones normales de iCloud Mail que no son de relay general
  Pero no entiendo bien por qué tener Sign in with Apple y Hide My Email en el mismo dominio haría más fácil bloquearlos en masa; ¿no debería hacerlo más difícil?

  • Antes, el correo tenía el formato me@icloud.com, que es el predeterminado para todos los usuarios de Apple
    No había manera de distinguir entre correos normales y correos privados generados
    Ahora que serán blah@private.icloud.com, se puede bloquear fácilmente el correo privado generado, que dificulta vincular inicios de sesión entre servicios
    No está claro por qué Apple elegiría algo tan desventajoso para sí misma. Ojalá Ternus no esté alineándose con una dirección contraria a la privacidad
  • Antes, cuando usabas este servicio, Apple generaba (something)@icloud.com
    Ahora usará (something)@private.icloud.com, así que de inmediato será posible un bloqueo de todo el subdominio dirigido a la gente que por defecto se “oculta” con este servicio
    Es parecido a bloquear anondaddy o simplelogin pero no protonmail
  • Supongo que antes tanto las cuentas con alias como las que no tenían alias usaban @icloud.com
    Como podías reservar una dirección normal de iCloud igual que al crear una cuenta de Gmail, si prohibías todo @icloud.com también bloqueabas a clientes de Apple que no usaban alias
    Aun así, no estoy seguro de que los sitios que querían bloquear alias realmente no pudieran hacerlo ya. Los correos alias tienen un aspecto lo bastante raro como para que, aceptando unos pocos falsos positivos, probablemente ya se pudieran bloquear

• Decir que queda “inservible” es exagerar
  Si un sitio va a bloquear los correos de relay privado, de todos modos habría aceptado mi correo temporal desde el principio
  El relay privado sirve para usarlo en sitios de los que quieres recibir noticias, pero como protección por si después sufren un hackeo

  • Sí. Una empresa razonable no va a prohibir correos de este subdominio

• Por otro lado, un sitio que bloquee private.icloud.com también estaría bloqueando la capacidad de hacer SSO con Apple, así que se aislaría a sí mismo del ecosistema Apple

  • No necesariamente
    Basta con permitir private.icloud.com solo cuando se use Apple SSO
    Sería posible no permitir direcciones private.icloud.com cuando alguien intente crear una cuenta sin Apple SSO

• Si un sitio realmente quisiera hacerlo, ya podía hacerlo fácilmente. Solo hay que detectar los patrones que se usan
  Aun así, estoy de acuerdo en que es un cambio inútil
  Por ejemplo, formatos como heave_balks_0g@icloud.com
  Sign in with Apple no debería verse muy afectado, porque los sitios ya tienen soporte explícito para esa función
  Los alias de correo son más complicados. Quieres mezclarte con la multitud para proteger tu privacidad, pero entonces quedas atado a ese ecosistema; con un dominio que controlas tú no hay atadura, pero tampoco hay anonimato dentro de la multitud

  • No todos los alias generados tienen ese formato; algunos se ven como viods01crew@icloud.com o methyl.brick1h@icloud.com
    De todos modos, el hecho de que algunos servicios hayan prohibido alias no es razón para volverlo completamente inútil en vez de mejorarlo
    Apple es una de las pocas empresas que pueden imponer este tema gracias a su cuota de mercado
  • Los sitios que realmente quieren hacerlo ya lo están haciendo
    Ahora mismo no sé qué método usan para identificarlo

• Yo uso alias de Proton en casi todas partes
  Claro, no en todas, y hay bastantes sitios que no aceptan direcciones passmail.net
  Así que es totalmente imaginable que esta función se vuelva inútil al menos en algunos sitios
  Como referencia, solo uso este tipo de alias en sitios donde no me importa perder el acceso. Si no, sería el peor lock-in posible
  Me gustaría que se pudieran elegir alias desde mi propio dominio secundario. Así al menos podría moverlos con un wildcard o con una lista exportada

  • Puedes crear alias personalizados en tu propio dominio
    Yo lo hago con todos mis inicios de sesión y también estoy migrando correos antiguos a alias de dominio personalizado

• La mayoría de mis direcciones de relay de iCloud ya son @privaterelay.appleid.com y han funcionado perfectamente
  Así que no parece que esto vaya a cambiar por un tiempo

  • Ese dominio se usa solo para Sign in with Apple

• Personalmente, Hide My Email me ata más al ecosistema Apple que iMessage. Aunque yo soy usuario europeo

  • ¿De verdad? Yo uso Hide My Email principalmente sin integración con el ecosistema Apple
    Creo un correo nuevo en icloud.com, lo copio y pego en el formulario de inicio de sesión, y luego lo guardo en 1Password
  • Es una estructura inquietante
    O te quedas como cliente de iCloud de por vida, o podrían romperse cientos de inicios de sesión