概要 
macOS で proxy 必須の環境に置いて F-Secure を使う場合、の注意点
- WPAD (Web Proxy Auto-Discovery Protocol) による自動設定では F-Secure の更新が出来ない。プロキシを手動設定する必要がある。
- 実用上の問題としてプロキシの手動設定は少なくとも FTP, HTTP, HTTPS のそれぞれについて個別に設定が必要。SOCKS と Gopher はなくても大丈夫と思うけど RTSP はよくわからん。
- 「localhost, 127.0.0.1」をプロキシの除外対象に追加しておく必要がある。確認はしてないが、多分「localhost, 127/24」を追加する方が良いと思う。
状況
macOS で F-Secure を使う際、要 proxy 環境だと F-Secure の更新に失敗する。
原因と対策
まず、macOS の標準設定では、「自動プロキシの検出」が OFF になっているらしく、WPAD による自動 proxy 設定環境では、これを ON にしておかないと proxy の自動解決が出来ない。
次に、「自動プロキシの検出」を ON にして WPAD により proxy を自動解決する場合、macOS や Safari 等は、WPAD で proxy を処理してくれるのだが、どうも F-Secure が WPAD だと proxy を解決出来ないらしい。
従って、本日現在の時点では、WPAD 環境下だと、「ネットワーク環境」を新たに作成して手動 proxy 設定しておく必要があるようだ。
ここで、更に Windows 畑の proxy 設定の知識しかないと、macOS の proxy 設定はちょっと分かり辛くてハマるポイント。
macOS のプロキシの設定には以下の項目が設けられている。
ところが macOS には、パッと見た限りこれらをまとめて設定する方法が見当たらない。
UNIX 系のノリで言えば ftp_proxy, http_proxy, https_proxy 環境変数みたいなもんなので一通り設定しておく必要がある。
ここで、目的のプロトコル用の設定欄に proxy が設定されてないと、とりあえず片っ端から繋がらない。
更に、macOS のプロキシ設定には、その下の欄に「プロキシ設定を使用しないホストとドメイン」という設定欄があるのだが、初期値として、「*.local, 169.254/16」が与えられている。
ここがまたまたハマるポイントで、F-Secure が local で port listen しており、F-Secure の更新の際には、この port に接続しようとするため、proxy の除外対象として、「localhost, 127.0.0.1」が設定されていないと F-Secure の更新に失敗するんだそうな。
とりあえず、この欄には、「localhost, 127.*」を追記しておくべきようだ。
Safari がどういう扱いなのかは確認し損ねたが、
少なくとも IE の場合、同様に「次で始まるアドレスにはプロキシを使用しない」という欄が設けられてはいるものの、ここは空欄のままでも IE は localhost や 127.0.0.1 へ問題なく接続してくれる。
Windows 10 の設定で新設されたプロキシの設定に至っては、「手動プロキシ セットアップ」の箇所には1つしか欄がなく、プロトコルの分類がバッサリ削られている。
もちろんこれは、従来からある IE のプロキシ設定と連動してはいるので、例の「すべてのプロトコルに同じプロキシ サーバーを使用する」が強制的に ON にされて上書きするのと同等の動作をする。
Microsoft Edge も特に localhost, 127.0.0.1 を除外せずとも、ローカルホストには問題なく接続してくれる。
次に、「自動プロキシの検出」を ON にして WPAD により proxy を自動解決する場合、macOS や Safari 等は、WPAD で proxy を処理してくれるのだが、どうも F-Secure が WPAD だと proxy を解決出来ないらしい。
従って、本日現在の時点では、WPAD 環境下だと、「ネットワーク環境」を新たに作成して手動 proxy 設定しておく必要があるようだ。
ここで、更に Windows 畑の proxy 設定の知識しかないと、macOS の proxy 設定はちょっと分かり辛くてハマるポイント。
macOS のプロキシの設定には以下の項目が設けられている。
- 自動プロキシ検出
- 自動プロキシ構成
- Webプロキシ (HTTP)
- 保護されたWebプロキシ (HTTPS)
- FTPプロキシ
- SOCKSプロキシ
- ストリーミングプロキシ (RTSP)
- Gopherプロキシ
- HTTP
- Secure
- FTP
- Socks
ところが macOS には、パッと見た限りこれらをまとめて設定する方法が見当たらない。
UNIX 系のノリで言えば ftp_proxy, http_proxy, https_proxy 環境変数みたいなもんなので一通り設定しておく必要がある。
ここで、目的のプロトコル用の設定欄に proxy が設定されてないと、とりあえず片っ端から繋がらない。
更に、macOS のプロキシ設定には、その下の欄に「プロキシ設定を使用しないホストとドメイン」という設定欄があるのだが、初期値として、「*.local, 169.254/16」が与えられている。
ここがまたまたハマるポイントで、F-Secure が local で port listen しており、F-Secure の更新の際には、この port に接続しようとするため、proxy の除外対象として、「localhost, 127.0.0.1」が設定されていないと F-Secure の更新に失敗するんだそうな。
とりあえず、この欄には、「localhost, 127.*」を追記しておくべきようだ。
Safari がどういう扱いなのかは確認し損ねたが、
少なくとも IE の場合、同様に「次で始まるアドレスにはプロキシを使用しない」という欄が設けられてはいるものの、ここは空欄のままでも IE は localhost や 127.0.0.1 へ問題なく接続してくれる。
Windows 10 の設定で新設されたプロキシの設定に至っては、「手動プロキシ セットアップ」の箇所には1つしか欄がなく、プロトコルの分類がバッサリ削られている。
もちろんこれは、従来からある IE のプロキシ設定と連動してはいるので、例の「すべてのプロトコルに同じプロキシ サーバーを使用する」が強制的に ON にされて上書きするのと同等の動作をする。
Microsoft Edge も特に localhost, 127.0.0.1 を除外せずとも、ローカルホストには問題なく接続してくれる。
感想
wget でも
wget とか curl みたいな挙動とでも言えば腹も立たないが、
IE や Microsoft Edge と比べると、
F-Secure の proxy 周りの動作は、一般消費者向けの製品としては、些か配慮が足りないと思う。
Safari について確認してないので、ちょっと微妙なんだけど、
もし Safari がこの設定で localhost に繋がらないなら、Apple はここの初期値を「*.local, 169.254/16, localhost, 127/24」くらいにしておいても罰は当たらないよね。
F-Secure は F-Secure で、少なくとも macOS で proxy 除外の初期値が「*.local, 169.254/16」だったり、Windows に至っては空欄だったりするんだから、
常識的に考えて IE や Microsoft Edge みたいに localhost くらい避けてくれても罰は当たらないだろう。
それ以前に、そもそも WPAD 環境下で役に立たないセキュリティソフトとか、一般消費者向けの製品として正直どうかと思うが。
# そう言えば、前に ESET も WPAD 環境下で繋がらないような話を聞いた気もするけど、どうだったかな?
http_proxy=http://proxy.example.com:8080/ wget -O- http://localhostだと繋がらないので、
wget とか curl みたいな挙動とでも言えば腹も立たないが、
IE や Microsoft Edge と比べると、
F-Secure の proxy 周りの動作は、一般消費者向けの製品としては、些か配慮が足りないと思う。
Safari について確認してないので、ちょっと微妙なんだけど、
もし Safari がこの設定で localhost に繋がらないなら、Apple はここの初期値を「*.local, 169.254/16, localhost, 127/24」くらいにしておいても罰は当たらないよね。
F-Secure は F-Secure で、少なくとも macOS で proxy 除外の初期値が「*.local, 169.254/16」だったり、Windows に至っては空欄だったりするんだから、
常識的に考えて IE や Microsoft Edge みたいに localhost くらい避けてくれても罰は当たらないだろう。
それ以前に、そもそも WPAD 環境下で役に立たないセキュリティソフトとか、一般消費者向けの製品として正直どうかと思うが。
# そう言えば、前に ESET も WPAD 環境下で繋がらないような話を聞いた気もするけど、どうだったかな?
タグ
コメントをかく