Wallpaper Engine 内部所使用的 wpx[.]app 域名因为开发者从来不拥有它,被别人注册后自动跳转至 Godaddy 域名注册商页面。导致软件无法正常使用,真的是巨大的草台班子啊。@Appinn
感谢酒精同学的提醒。
Wallpaper Engine 是一款著名的动态壁纸工具,社区拥有大量有趣好看的比 2D、3D 壁纸。最近很多用户反馈,在打开 Wallpaper Engine 之后,直接跳转到了 Godaddy 的域名购买页面:
开发者5个小时前在 Steam 社区回复了此次域名丢失事件:
青小蛙总结一下:
- Wallpaper Engine 内部伪造了一个不存在的域名 wpx[.]app 作为来源标识
- 该标识为了向 YouTube 确认自己来自 Wallpaper Engine
- 开发者从来没有购买过 wpx[.]app 域名!
- 该域名被别人注册了
- ….
- 开发者已经修复了该问题
- 用户只需要重启 Steam 然后更新 Wallpaper Engine 即可。
这该死的草台班子啊。
以下内容为开发者说明:
wpx.app / GoDaddy 漏洞说明
我想花点时间解释一下“GoDaddy”的问题,以及这起事件的发生有多么令人遗憾。现在问题已经修复,如果您还没有收到更新,请重启 Steam以 便更快获得更新。一些用户反映更新后问题没有立即解决,这可能是缓存问题。如果您遇到此问题,需要重新安装一次应用程序(99%的用户应该不需要这样做)。
首先,为什么会发生这种情况?是我们忘记缴费了吗?还是我们的账户被盗了?都不是。
问题的根源在于 YouTube 开始屏蔽那些不告知其请求来源网站的应用。Wallpaper Engine 并非网站,所以我们当时的做法是,在所有网络请求中都附上一个虚假域名,也就是现在广为人知的“wpx[.]app”。
事后看来,这很愚蠢,因为我们并不拥有这个域名。因此,我们在测试版中采用了一个更好的解决方案。
几个小时前实际发生的事情是,应用中“发现”选项卡的一个后台请求从 HTTP 重定向到了 HTTPS,但由于某种不幸的巧合,整个请求意外地指向了臭名昭著的 GoDaddy 购买页面(该页面位于伪造的 wpx[.]app 域名下)。幸运的是,测试版已经彻底解决了这个根本问题。
既然我们一直都准备好了修复方案,为什么花了这么长时间才把包含解决方案的测试版发布上线呢?事情的转折点就在这里,非常不幸。
我们之前没有发布测试版,是因为我们认为当前的正式版并没有直接的风险,只是担心测试版中可能存在一些潜在的bug。而且由于我之前就计划好了假期,所以我们决定把发布推迟到假期之后。
问题出现的时候,我正在国外,收不到Steam发来的短信,无法将测试版升级到正式版。负责开发这款应用的另一位同事Kris当然随时可以帮忙,但偏偏偏在这个时候出现问题,而那天正是他家狗狗做手术的日子。由于他非常担心狗狗的状况,所以当晚就关机睡觉,想好好休息,为第二天紧张的工作做好准备。
基本上,我根本无法从国外联系到他,直到他醒来(幸运的是,他在德国时间早上 5:30 就醒了)——这真的是该应用程序历史上最糟糕的时机,换作其他任何一天,我们都能在几分钟内而不是几个小时内解决这个问题。
我也曾要求Steam团队提前上线测试版,但他们拒绝了,大概是出于安全考虑。他们需要开发者手机发送的短信才能上线,没有例外。我不想责怪他们,这通常是个很明智的做法,但眼睁睁看着这件事不了了之,我却无能为力,真是煎熬。
这真是非常尴尬的情况,本不应该发生。对于由此造成的任何困扰,我深表歉意。我想强调的是,导致此问题的底层代码缺陷现已完全修复,而且在此问题出现之前,风险其实非常小,因为该域名主要用于向 YouTube 和我们内部的“发现”标签页服务器发送一个虚假域名。
