Apple sedang membuat Hide My Email jadi tidak berguna

 (arseniyshestakov.com)
1 poin oleh GN⁺ 18 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Sign in with Apple dan alias iCloud+ Hide My Email ke depannya akan diterbitkan di subdomain @private.icloud.com
  • Perubahan ini membuat layanan lebih mudah memblokir hanya alias relay tanpa memengaruhi kotak masuk email biasa milik iCloud
  • Sebelumnya, biaya untuk memblokir alias iCloud cukup tinggi karena adanya dukungan Apple dan tingkat tertentu dari plausible deniability
  • Banyak layanan mungkin tidak akan menerima alamat email ini, seperti halnya mereka menolak kotak masuk email sementara gratis
  • Pengguna iCloud+ dan Hide My Email masih punya waktu untuk membuat lebih banyak alias @icloud.com sebelum perubahan ini diterapkan, dan batas pembuatan alias setidaknya 30 per jam

Perubahan inti

  • Di berita pengembang Apple telah dipublikasikan pengumuman domain baru untuk Sign in with Apple dan iCloud+ Hide My Email
  • Ke depannya, alias Sign in with Apple dan Hide My Email semuanya akan diterbitkan di subdomain @private.icloud.com
  • Dengan struktur ini, semua alias menjadi lebih mudah diblokir tanpa memengaruhi kotak surat iCloud yang bukan relay

Privasi dan dampak bagi pengguna

  • Perubahan ini bisa menjadi pukulan besar bagi privasi iCloud
    • Sebelumnya, biaya untuk memblokir alias iCloud cukup tinggi karena adanya dukungan Apple dan tingkat tertentu dari plausible deniability
    • Subdomain baru ini membuat alias lebih jelas terpisah, sehingga layanan lebih mudah menolaknya
  • Banyak layanan mungkin tidak akan menerima email @private.icloud.com, sebagaimana mereka menolak kotak masuk email sementara gratis
  • Disampaikan harapan agar Apple mempertimbangkan kembali keputusan ini
  • Pengguna iCloud+ dan Hide My Email masih punya waktu untuk membuat lebih banyak alias @icloud.com karena perubahan ini belum diterapkan
    • Batas laju pembuatan alias setidaknya 30 per jam

Bacaan terkait

1 komentar

 
GN⁺ 18 jam lalu
Komentar Hacker News

  • Jika memakai iCloud+ dan Hide My Email, perubahan itu belum diterapkan dan batas pembuatan alias juga masih setidaknya 30 per jam, jadi bahkan sekarang pun masih bisa membuat lebih banyak alias @icloud.com
    Salah satu alasan memakai Hide My Email adalah karena fitur ini membuat privasi tidak merepotkan, jadi membangun sistem untuk membuat alias lebih dulu lalu mencatatnya agar bisa dipakai nanti terasa cukup merepotkan

    • Aku sudah punya puluhan, jadi mungkin masih bisa terus memakainya ulang, tetapi kalau memberi satu untuk tiap situs, saat spam mulai masuk ke satu alamat Hide My Email, kita bisa tahu situs mana yang membocorkannya, dan itu cukup bagus
    • Jika tidak masalah mempercayai perusahaan lain untuk menangani penerusan email, jelas lebih tidak merepotkan untuk menyiapkan layanan serupa sendiri
    • Meski begitu, untuk berjaga-jaga aku sudah membuat beberapa, dan peretas lain juga bisa melakukan hal yang sama kalau mau
      iCloud+ tadinya merupakan layanan terbaik dengan harga 1 dolar per bulan, menawarkan email domain kustom, alias email, dan cloud drive terenkripsi end-to-end 100GB
      Kalau melihatnya dienshittifikasi tanpa alasan yang jelas, wajar saja kalau terasa mengecewakan
    • Kita butuh skrip yang membuat alias berdasarkan tanggal untuk 10 tahun ke depan agar bisa memakai satu email per hari

  • Jika sebuah situs memblokirku karena aku memakai email yang ramah privasi, aku tidak ingin berurusan dengan situs itu

    • Benar, tapi sayangnya itu bukan prinsip yang selalu bisa diterapkan
      Belum lama ini di Italia aku harus memakai tempat parkir umum berbayar yang dikelola pemerintah daerah, dan dalam radius 30 menit jalan kaki tidak ada parkir lain, baik berbayar maupun gratis
      Memang bukan aplikasi pemerintah Italia, tetapi aku harus mengunduh aplikasi pihak ketiga yang bermitra lalu mendaftar, dan dalam situasi seperti itu, walaupun aku “tidak ingin berurusan dengan situs atau aplikasi itu”, aku jadi tidak bisa parkir
    • Sering kali tidak ada alternatif yang layak, jadi kita terpaksa bergantung pada penyedia tertentu
    • Aku sering membeli domain yang menurutku lucu lalu mengatur agar semua email diteruskan ke akun email utamaku
      Sangat mudah diatur di Cloudflare, dan setelah setahun saat domainnya hilang, spamnya ikut hilang
    • Aku pernah mengalami ini dengan sebuah operator seluler MVNO
      Mereka tidak suka domain email pribadi, misalnya berbagai alamat .net dan .org, jadi aku terus meminta ke dukungan pelanggan sampai akhirnya mereka menambahkannya secara manual
      Setelah ditambahkan, tim pemasaran mereka dengan senang hati mengirim email ke domain pribadiku. Suatu hari nanti ini mungkin jadi masalah, tapi tujuan akhirnya memang menyingkirkan ponsel sepenuhnya
    • Sepenuhnya setuju. Aku penasaran apakah ada orang yang benar-benar pernah mengalami ini
      Trik alias tanda plus di Gmail sudah dikenal luas sejak lama, dan setahuku sampai sekarang masih berfungsi baik
      Dari sudut pandang situs web, semestinya cukup mudah untuk memblokir + di alamat Gmail atau mengekstrak email aslinya

  • Untuk melakukan hal serupa tanpa Apple, kamu bisa membeli atau mendapatkan domain murah, membuat subdomain, lalu menerima dan meneruskan semua email yang masuk ke subdomain itu
    Misalnya memakai nytimes@mailsub.example.com -> jono@gmail, anything-else@mailsub.example.com -> jono@gmail, dan sebenarnya bahkan tidak perlu membuat alias lebih dulu

    • Masalah muncul jika seseorang mengetahui strukturnya lalu mulai mengirim spam ke {random}@domain.tld
      Saat itu kamu harus duduk dan membuat alias sungguhan untuk setiap alamat email yang sudah dipakai lalu menghentikan catch-all forwarding
      Selain itu, memakai domain sendiri mengurangi privasi, sehingga meningkatkan kemungkinan penipuan bertarget atau phishing. Penipuan bertarget juga merupakan jenis yang paling rentan menyerang kita
      Bukan berarti cara ini buruk, aku juga memakainya sendiri, tetapi masalahnya tidak sesederhana itu
      Dengan iCloud, masalah seperti itu teratasi, tetapi muncul risiko akun dibekukan sehingga kamu kehilangan akses ke email-email tersebut
      Mungkin cara terbaik adalah menyiapkan satu domain email khusus bersama teman-teman lalu menghubungkannya ke sesuatu seperti SimpleLogin, tetapi ini cepat menjadi rumit
    • Aku juga melakukan ini
      Hanya saja terasa canggung ketika harus menjelaskan secara langsung atau lewat telepon bahwa email pelanggan adalah [their_business_name]@my_weird_domain.tld
      Biasanya mereka cuma mengangguk saja
      Kekurangan lainnya adalah ini hanya meneruskan email masuk. Akan bagus jika bisa memproksikan balasan tanpa harus membuat kotak masuk dan kotak keluar baru secara penuh
    • Jika server penerusan email tidak mendukung SRS, Gmail akan memblokir pesan yang gagal pada penyelarasan SPF/DMARC
    • Karena SPF/DMARC/DKIM, sekarang semuanya memang jadi sedikit lebih rumit secara umum
      Ada cukup banyak mail transfer agent yang tidak akan meneruskan email kalau semua pengaturannya tidak benar
    • Sudah beberapa tahun aku memakainya seperti ini dan berjalan baik, dan seru juga melihat siapa yang menjual emailku
      Tapi kamu benar-benar harus menyimpan catatan dengan baik
      Saat mencoba memulihkan akun lalu tidak ingat email kustom mana yang dipakai, situasinya benar-benar menyebalkan

  • Singkatnya, ini berarti sekarang Sign in with Apple dan alias Hide My Email sama-sama diterbitkan di subdomain @private.icloud.com
    Dengan begitu, menjadi jauh lebih mudah untuk melarang semua alias tanpa memengaruhi kotak surat iCloud biasa yang bukan relay umum
    Tapi saya kurang paham kenapa jika Sign in with Apple dan Hide My Email berada di domain yang sama, pemblokiran massal justru jadi lebih mudah, bukannya lebih sulit

    • Sebelumnya emailnya berbentuk me@icloud.com, yang merupakan default untuk semua pengguna Apple
      Tidak ada cara untuk membedakan email biasa dan email privat yang dibuat
      Sekarang karena menjadi blah@private.icloud.com, email privat yang dibuat yang mempersulit pengaitan login antar-layanan bisa diblokir dengan mudah
      Tidak jelas kenapa Apple memilih langkah yang merugikan diri sendiri seperti ini. Semoga Ternus tidak sedang menyesuaikan arah yang bertentangan dengan privasi
    • Dulu kalau memakai layanan ini, Apple membuat (something)@icloud.com
      Sekarang karena memakai (something)@private.icloud.com, jadi langsung dimungkinkan memblokir seluruh subdomain yang menargetkan orang-orang yang pada dasarnya “bersembunyi” dengan layanan ini
      Mirip seperti memblokir anondaddy atau simplelogin tetapi tidak memblokir protonmail
    • Dugaan saya, sebelumnya akun alias dan non-alias sama-sama memakai @icloud.com
      Karena alamat email iCloud biasa bisa dipesan seperti membuat akun Gmail, kalau seluruh alamat iCloud dilarang maka pelanggan Apple yang bukan pengguna alias juga ikut terblokir
      Namun saya juga tidak yakin apakah tempat-tempat yang ingin memblokir alias memang sebelumnya tidak bisa melakukannya. Email alias bentuknya cukup aneh, jadi dengan sedikit toleransi terhadap false positive, rasanya sebelumnya juga sudah bisa diblokir

  • Menyebutnya “tidak berguna” rasanya berlebihan
    Situs yang sampai mau memblokir email relay privat memang dari awal hanya akan menerima email sementara saya
    Relay privat dipakai untuk situs yang saya ingin tetap terima kabarnya, tapi sebagai pengaman kalau nanti situs itu diretas

    • Betul. Perusahaan yang masuk akal tidak akan melarang email dari subdomain ini

  • Sebaliknya, tempat yang memblokir private.icloud.com juga akan memblokir kemampuan SSO lewat Apple, jadi mereka memutus diri dari ekosistem Apple

    • Tidak selalu begitu
      Cukup izinkan private.icloud.com hanya saat memakai Apple SSO
      Kalau seseorang mencoba membuat akun tanpa Apple SSO, bisa saja dibuat agar alamat email private.icloud.com tidak diterima

  • Kalau sebuah situs memang niat, sebelumnya juga sudah bisa melakukannya dengan mudah. Tinggal deteksi pola yang dipakai
    Meski begitu, saya setuju ini perubahan yang tidak berguna
    Contohnya bentuk seperti heave_balks_0g@icloud.com
    Seharusnya hampir tidak berdampak pada Sign in with Apple, karena situs-situs memang sudah secara eksplisit mendukung fitur itu
    Alias email itu sulit. Kita ingin menjaga privasi dengan menyatu dalam kerumunan pengguna, tetapi itu membuat kita terikat pada ekosistem tersebut; sedangkan domain yang kita kendalikan sendiri tidak menimbulkan keterikatan, namun juga tidak punya anonimitas dalam kerumunan

    • Tidak semua alias yang dibuat berbentuk seperti itu; sebagian ada yang seperti viods01crew@icloud.com atau methyl.brick1h@icloud.com
      Bagaimanapun, fakta bahwa sebagian layanan melarang alias bukan alasan untuk bukannya memperbaikinya malah membuatnya sama sekali tidak berguna
      Apple adalah salah satu dari sedikit perusahaan yang bisa memaksakan isu ini lewat pangsa pasarnya
    • Situs yang memang niat sebenarnya sudah melakukannya
      Saya hanya tidak tahu sekarang mereka membedakannya dengan cara apa

  • Saya memakai alias Proton hampir di semua tempat
    Tentu bukan benar-benar semua; ada juga cukup banyak tempat yang tidak menerima alamat passmail.net
    Jadi sangat mudah dibayangkan bahwa fitur ini setidaknya bisa menjadi tidak berguna di sebagian situs
    Sebagai catatan, saya hanya memakai alias seperti ini untuk situs yang tidak masalah kalau saya kehilangan login. Kalau tidak, itu bisa menjadi lock-in terburuk
    Akan bagus kalau saya bisa memilih alias dari domain sekunder milik saya sendiri. Dengan begitu setidaknya bisa dipindahkan lewat wildcard atau daftar ekspor

    • Kita bisa membuat alias kustom di domain sendiri
      Saya memakainya untuk semua login, dan sedang memindahkan email-email lama juga ke alias domain kustom

  • Sebagian besar alamat relay iCloud saya sudah @privaterelay.appleid.com dan selama ini berfungsi dengan sempurna
    Jadi sepertinya ini tidak akan berubah dalam waktu dekat

    • Domain itu hanya dipakai untuk Sign in with Apple

  • Secara pribadi, Hide My Email malah membuat saya lebih terikat ke ekosistem Apple daripada iMessage. Tapi saya pengguna Eropa

    • Benarkah? Saya justru kebanyakan memakai Hide My Email tanpa integrasi ekosistem Apple
      Saya membuat email baru di icloud.com, menyalinnya ke form login, lalu menyimpannya ke 1Password
    • Strukturnya terasa rapuh
      Entah harus tetap menjadi pelanggan iCloud seumur hidup, atau ratusan login bisa rusak