Apple sắp khiến Hide My Email trở nên vô dụng

Ý kiến trên Hacker News

• Nếu đang dùng iCloud+ và Hide My Email, thay đổi này vẫn chưa được áp dụng, và giới hạn tạo bí danh vẫn là ít nhất 30 cái mỗi giờ, nên ngay lúc này vẫn có thể tạo thêm các bí danh @icloud.com
  Một trong những lý do để dùng Hide My Email là vì nó giúp bảo vệ quyền riêng tư mà không gây phiền phức, nhưng việc dựng một hệ thống tạo sẵn rồi liệt kê ra để dùng sau lại khá phiền toái

  • Tôi đã có sẵn vài chục cái nên chắc vẫn có thể tiếp tục tái sử dụng, nhưng nếu dùng một cái cho mỗi trang web thì khi một địa chỉ Hide My Email bắt đầu nhận spam, có thể biết được trang nào đã làm lộ nó, điều này khá hay
  • Nếu chấp nhận tin tưởng một công ty khác lo phần chuyển tiếp email, thì tự dựng một dịch vụ tương tự chắc chắn sẽ đỡ phiền hơn
  • Dù sao tôi cũng đã tạo sẵn vài cái phòng trường hợp cần, và các hacker khác nếu muốn cũng có thể làm như vậy
    iCloud+ từng là dịch vụ tốt nhất với giá 1 USD mỗi tháng, cung cấp email tên miền tùy chỉnh, bí danh email và ổ đĩa đám mây 100GB mã hóa đầu-cuối
    Nếu thấy nó bị làm cho tệ đi mà chẳng vì lý do gì rõ ràng thì đương nhiên cũng sẽ thấy tiếc
  • Cần một script tạo bí danh theo ngày cho 10 năm tới để có thể dùng email mỗi ngày một cái

• Nếu một trang web chặn tôi chỉ vì tôi dùng email thân thiện với quyền riêng tư, thì tôi cũng không muốn dính dáng với trang đó

  • Đúng, nhưng đáng tiếc là đó không phải lúc nào cũng là nguyên tắc có thể áp dụng
    Cách đây không lâu tôi phải dùng một bãi đỗ xe công cộng thu phí của chính quyền địa phương ở Ý, và trong bán kính đi bộ 30 phút không có bãi nào khác, dù trả phí hay miễn phí
    Đây không phải app của chính phủ Ý, nhưng tôi vẫn phải tải một ứng dụng bên thứ ba liên kết với họ và đăng ký, nên trong tình huống như vậy, dù có nói “tôi không muốn dính dáng tới trang hay app đó” thì cũng không đỗ xe được
  • Thường vẫn có những trường hợp không có lựa chọn thay thế phù hợp nên buộc phải phụ thuộc vào một nhà cung cấp cụ thể
  • Tôi hay mua những tên miền thấy buồn cười rồi cấu hình để mọi thư gửi đến đều chuyển tiếp về tài khoản email chính của mình
    Thiết lập trên Cloudflare cực kỳ dễ, và khi tên miền hết hạn sau 1 năm thì spam cũng biến mất theo
  • Tôi từng gặp chuyện này với một nhà mạng MVNO
    Họ không thích các tên miền email cá nhân, ví dụ như nhiều địa chỉ .net và .org, nên tôi phải liên tục nhờ bộ phận hỗ trợ khách hàng và cuối cùng họ mới thêm thủ công
    Sau khi được thêm vào, đội marketing lại happily gửi mail tới tên miền cá nhân của tôi. Có thể một ngày nào đó nó sẽ thành vấn đề, nhưng mục tiêu cuối cùng của tôi vốn là bỏ luôn điện thoại di động
  • Hoàn toàn đồng ý. Tôi tò mò không biết có ai thực sự từng gặp chuyện này chưa
    Mẹo bí danh bằng dấu cộng của Gmail đã nổi tiếng từ rất lâu và theo tôi biết thì đến giờ vẫn hoạt động tốt
    Từ phía website thì việc chặn ký tự + trong địa chỉ Gmail hoặc trích xuất email thật ra cũng đủ dễ

• Nếu muốn làm tương tự mà không cần Apple, chỉ cần mua hoặc kiếm một tên miền rẻ, tạo một tên miền phụ, rồi nhận và chuyển tiếp mọi thư gửi đến tên miền phụ đó
  Ví dụ có thể dùng kiểu nytimes@mailsub.example.com -> jono@gmail, anything-else@mailsub.example.com -> jono@gmail, và thực tế còn chẳng cần tạo sẵn bí danh nào cả

  • Sẽ thành vấn đề nếu ai đó đoán ra cấu trúc rồi bắt đầu gửi spam tới {random}@domain.tld
    Lúc đó bạn sẽ phải ngồi tạo bí danh thật cho từng địa chỉ email đã dùng và dừng chuyển tiếp catch-all
    Ngoài ra, dùng tên miền riêng cũng làm quyền riêng tư kém đi, từ đó tăng khả năng bị lừa đảo nhắm mục tiêu hoặc phishing. Mà lừa đảo nhắm mục tiêu lại là kiểu mà chúng ta dễ dính nhất
    Không phải cách này tệ, tôi cũng đang tự dùng, nhưng nó không đơn giản đến vậy
    Dùng iCloud thì xử lý được vấn đề đó, nhưng lại phát sinh rủi ro tài khoản bị khóa khiến không thể truy cập các email ấy
    Có lẽ cách tốt nhất là lập một tên miền email chuyên dụng cùng bạn bè rồi nối với thứ như SimpleLogin, nhưng mọi thứ sẽ nhanh chóng trở nên phức tạp
  • Tôi cũng làm vậy
    Chỉ là sẽ hơi ngượng khi phải giải thích trực tiếp hoặc qua điện thoại rằng email dành cho khách hàng của tôi là [their_business_name]@my_weird_domain.tld
    Thường thì họ chỉ gật đầu cho qua
    Một nhược điểm khác là nó chỉ chuyển tiếp thư đến. Sẽ rất tốt nếu có thể proxy cả phần trả lời mà không cần dựng nguyên một inbox và outbox mới
  • Nếu máy chủ chuyển tiếp thư không hỗ trợ SRS, Gmail sẽ chặn những thư bị lỗi căn chỉnh SPF/DMARC
  • Vì SPF/DMARC/DKIM nên giờ mọi thứ nhìn chung đã phức tạp hơn một chút
    Cũng có khá nhiều mail transfer agent sẽ không chuyển thư nếu cấu hình không khớp hết
  • Tôi đã dùng kiểu này nhiều năm rồi và nó hoạt động tốt, hơn nữa còn vui ở chỗ biết được ai đang bán email của mình
    Nhưng nhất định phải lưu lại hồ sơ cẩn thận
    Nếu đang cần khôi phục tài khoản mà lại không nhớ đã dùng email tùy chỉnh nào thì thật sự rất khổ sở

• Tóm lại, điều này có nghĩa là giờ cả Sign in with Apple lẫn bí danh Hide My Email đều được cấp dưới tên miền con @private.icloud.com
  Như vậy sẽ dễ hơn nhiều để cấm toàn bộ bí danh mà không ảnh hưởng đến các hộp thư iCloud Mail thông thường không dùng relay
  Nhưng tôi không hiểu vì sao việc Sign in with Apple và Hide My Email cùng nằm trên một tên miền lại khiến việc chặn hàng loạt dễ hơn; lẽ ra phải khó hơn chứ

  • Trước đây email có dạng me@icloud.com, vốn là mặc định cho mọi người dùng Apple
    Không có cách nào để phân biệt email thường với email riêng tư được tạo ra
    Giờ nó thành blah@private.icloud.com, nên có thể dễ dàng chặn email riêng tư được tạo ra, thứ làm việc liên kết đăng nhập giữa các dịch vụ trở nên khó khăn hơn
    Không rõ vì sao Apple lại tự chọn phương án bất lợi như vậy. Mong là Ternus không đang điều chỉnh theo hướng đi ngược lại quyền riêng tư
  • Trước đây khi dùng dịch vụ này, Apple tạo ra địa chỉ (something)@icloud.com
    Giờ chuyển sang dùng (something)@private.icloud.com, nên có thể lập tức chặn toàn bộ tên miền con đối với những người mặc định đang “ẩn mình” bằng dịch vụ này
    Tương tự như việc chặn anondaddy hay simplelogin nhưng không chặn protonmail
  • Tôi đoán là trước đây cả tài khoản bí danh lẫn không phải bí danh đều dùng @icloud.com
    Vì có thể đăng ký một địa chỉ email iCloud thông thường giống như tạo tài khoản Gmail, nên nếu cấm toàn bộ địa chỉ iCloud thì sẽ chặn luôn cả khách hàng Apple không dùng bí danh
    Tuy vậy, tôi không chắc những nơi muốn chặn bí danh trước đây đã thực sự không làm được. Email bí danh trông đủ khác thường để, nếu chấp nhận một chút dương tính giả, có lẽ họ đã có thể chặn rồi

• Nói là “vô dụng” thì hơi quá
  Nếu một trang web đủ lý do để chặn email relay riêng tư, thì ngay từ đầu đó cũng là nơi tôi sẽ dùng email tạm
  Relay riêng tư nên được dùng cho các trang mà bạn muốn nhận tin tức, nhưng như một lớp an toàn đề phòng trường hợp sau này họ bị hack

  • Đúng vậy. Một công ty hợp lý sẽ không cấm email từ tên miền con này

• Ngược lại, nơi nào chặn private.icloud.com thì cũng sẽ chặn luôn khả năng SSO bằng Apple, tức là tự cắt mình khỏi hệ sinh thái Apple

  • Không hẳn
    Chỉ cần cho phép private.icloud.com khi dùng Apple SSO là được
    Có thể áp dụng cách không cho phép địa chỉ private.icloud.com nếu người dùng tạo tài khoản mà không thông qua Apple SSO

• Nếu một trang thực sự muốn làm, họ vốn đã có thể làm khá dễ rồi. Chỉ cần phát hiện mẫu đang được dùng
  Dù vậy tôi đồng ý đây là thay đổi vô ích
  Ví dụ như dạng heave_balks_0g@icloud.com
  Nó không nên ảnh hưởng nhiều đến Sign in with Apple, vì các trang đã phải hỗ trợ rõ ràng tính năng đó rồi
  Bí danh email thì khó hơn. Bạn muốn bảo vệ quyền riêng tư bằng cách hòa lẫn vào đám đông người dùng, nhưng như vậy thì bị khóa vào hệ sinh thái đó; còn tên miền do chính bạn kiểm soát thì không bị khóa, nhưng cũng không có tính ẩn danh trong đám đông

  • Không phải mọi bí danh được tạo ra đều có dạng như vậy; một số trông như viods01crew@icloud.com hoặc methyl.brick1h@icloud.com
    Dù sao thì việc một số dịch vụ cấm bí danh cũng không phải lý do để thay vì cải thiện lại làm nó hoàn toàn vô dụng
    Apple là một trong số ít công ty có thể dùng thị phần để ép vấn đề này tiến lên
  • Những trang thực sự muốn làm thì trên thực tế đã làm như vậy rồi
    Hiện tôi không rõ họ đang phân biệt bằng cách nào

• Tôi dùng bí danh Proton ở gần như mọi nơi
  Tất nhiên không phải mọi nơi, và cũng có khá nhiều chỗ không nhận địa chỉ passmail.net
  Vì vậy tôi hoàn toàn có thể hình dung việc tính năng này trở nên vô dụng, ít nhất là trên một số trang
  Nói thêm là tôi chỉ dùng các bí danh kiểu này cho những trang mà nếu mất đăng nhập cũng không sao. Nếu không thì đó sẽ là kiểu lock-in tệ nhất
  Giá mà tôi có thể chọn bí danh trên chính tên miền phụ của mình. Khi đó ít nhất còn có thể chuyển bằng wildcard hoặc danh sách đã xuất

  • Bạn có thể tạo bí danh tùy chỉnh trên chính tên miền của mình
    Tôi dùng cách này cho mọi đăng nhập, và cũng đang chuyển các email cũ sang bí danh trên tên miền tùy chỉnh

• Phần lớn địa chỉ relay iCloud của tôi vốn đã là @privaterelay.appleid.com và từ trước đến nay hoạt động hoàn hảo
  Nên tôi không nghĩ chuyện này sẽ thay đổi trong thời gian tới

  • Tên miền đó chỉ dùng cho Sign in with Apple

• Cá nhân tôi thấy Hide My Email còn khiến tôi bị khóa vào hệ sinh thái Apple hơn cả iMessage. Nhưng tôi là người dùng ở châu Âu

  • Thật vậy sao? Tôi chủ yếu dùng Hide My Email mà không cần tích hợp hệ sinh thái Apple
    Tôi tạo email mới trên icloud.com, sao chép dán vào form đăng nhập rồi lưu vào 1Password
  • Cấu trúc này khá đáng lo
    Hoặc là bạn phải ở lại làm khách hàng iCloud suốt đời, hoặc hàng trăm lần đăng nhập có thể bị hỏng