Python 2.7 gevaarlijk?

woensdag 9 november 2022 08:53

Acties:

0 Henk 'm!

Topicstarter

Mijn vraag
Beste Tweakers!
Is installeren van oude Python 2(.7.18) gevaarlijk voor een OS?
Brengt het risico's met zich mee?
Vraag 2: kan ik via Pyenv alleen die app op Python 2 laten draaien met pyenv local?
Hoe pak ik dat aan: het lukt me nog niet.

Relevante software en hardware die ik gebruik
Ik gebruik een aangeschaft pakket dat Python 2.7 nodig heeft, maar
vanaf Macos Monterey levert Apple geen Python 2 meer mee. Dus werkt de
app niet.
Waarom niet updaten? De nieuwe versie heeft een abo en ik gebruik het ook weer niet
zo vaak dat ik de nieuwe versie nodig heb en een abo wil afsluiten.

Wat ik al gevonden of geprobeerd heb
Via officiele Python site 2.7.18 geinstalleerd op Macos. Ging goed en app werkte weer.
Daarna bedacht ik me dat het misschien niet zo slim was om een oude Python te hebben
en heb ik pyenv geprobeerd (via Homebrew) om alleen de map waar de app in staat
de oude python te geven. Dat werkt niet helemaal: ben daar nog niet uit.

Bedankt vast en groet Furbz

edit:
ps: ik weet niet of dit in het goede forum staat, maar dacht dat softwareontwikkelaars wellicht
het juiste antwoord kunnen geven.

[ Voor 6% gewijzigd door Furbz op 09-11-2022 08:54 ]

woensdag 9 november 2022 13:40

Ben(V)

Ik denk dat je minder gevaar loopt van de Python 2 interpreter dan van de python applicatie zelf.
Een python 3 programma kan net zo gemakkelijk gevaarlijk zijn als een python 2 programma.
Het feit dat de python 3 interpreter gebruikt wordt verbeterd het programma niets.

Het draaien in een VM maakt het uiteraard niet minder gevaarlijk, tenzij je die VM volkomen isoleert, maar dan kun je er ook niet meer bij.

En een python interpreter die niet gebruikt wordt om een python programma te draaien is natuurlijk ongevaarlijk.

[ Voor 12% gewijzigd door Ben(V) op 09-11-2022 13:42 ]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

woensdag 9 november 2022 08:56

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

Python 2 is EOL, daar komen dus géén (security) updates meer voor uit. Wil je tóch gebruik maken van Python 2, zou ik dat anno nu binnen een VM of container doen.

[ Voor 18% gewijzigd door CH4OS op 09-11-2022 09:00 ]

woensdag 9 november 2022 08:57

Acties:

0 Henk 'm!

ImNotnoa

https://snyk.io/test/docker/python%3A2.7.18

Ik zou me er niet fijn bij voelen, zeker niet omdat er geen patches meer voor komen

Try SCE to Aux

woensdag 9 november 2022 08:58

Acties:

0 Henk 'm!

Fore!

Probeer eens de laatste versie van Python te installeren. Wellicht werkt het pakket ook gewoon.

woensdag 9 november 2022 08:59

Acties:

0 Henk 'm!

Oon

[quote]Furbz schreef op woensdag 9 november 2022 @ 08:53:
Waarom niet updaten? De nieuwe versie heeft een abo en ik gebruik het ook weer niet
zo vaak dat ik de nieuwe versie nodig heb en een abo wil afsluiten.
[/quote]
Huh?

Ik heb gewoon Python 3 draaien op MacOS mbv
[code]brew install python[/code]

Edit: Verkeerd gelezen. Ik zou zoals al aangegeven eens proberen dat pakket op Python 3 te draaien

[ Voor 13% gewijzigd door Oon op 09-11-2022 09:00 ]

woensdag 9 november 2022 09:00

Acties:

0 Henk 'm!

Croga

The Unreasonable Man

.

[ Voor 99% gewijzigd door Croga op 09-11-2022 09:01 ]

woensdag 9 november 2022 09:10

Acties:

0 Henk 'm!

Furbz

Topicstarter

Wow, dat zijn snelle reacties!
@Oon : ik heb geprobeerd de app gewoon te draaien op Python 3.9.nogiets,
maar dan blijft 'ie' crashen: 'de app is onverwachts gestopt'.
De enige workaround die ik vond was dus de oude versie installeren.
Overigens heb ik deze methode geprobeerd op Macos geinstalleerd op een externe SSD (T3)
om er zeker van te zijn dat ik mijn hoofd installatie niet naar de grootjes help.

Dank voor de waarschuwingen! Het enige wat ik dus wil is 1 app die draait op python.
Als ik het in een vm zou kunnen draaien (even uitzoeken hoe dat moet, want om er een
hele install voor te maken vind ik wel veel van het goede voor 1 app). Tips?
Kan ik op Macos 1 app Virtualizen om gevaar te voorkomen? Of moet ik me er gewoon bij
neerleggen?

Overigens: ik gebruik nu Big Sur waar Python 2 nog wel in zit. Loop ik dan extra risico's als ik jullie
goed begrijp?

woensdag 9 november 2022 13:40

Acties:

Beste antwoord ✓
0 Henk 'm!

Ben(V)

Ik denk dat je minder gevaar loopt van de Python 2 interpreter dan van de python applicatie zelf.
Een python 3 programma kan net zo gemakkelijk gevaarlijk zijn als een python 2 programma.
Het feit dat de python 3 interpreter gebruikt wordt verbeterd het programma niets.

Het draaien in een VM maakt het uiteraard niet minder gevaarlijk, tenzij je die VM volkomen isoleert, maar dan kun je er ook niet meer bij.

En een python interpreter die niet gebruikt wordt om een python programma te draaien is natuurlijk ongevaarlijk.

[ Voor 12% gewijzigd door Ben(V) op 09-11-2022 13:42 ]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

woensdag 9 november 2022 14:59

Acties:

0 Henk 'm!

Furbz

Topicstarter

@Ben(V) Thanks! Als ik je goed begrijp: het is veilig, mits de app zelf veilig is.
Het is een programma dat niet online gaat, maar voor opmaak van boeken gebruikt wordt.

Als ik de 2.7.18 installeer, dan zit dat 3.9.nogiets niet in de weg toch? Ik wil in alle gevallen voorkomen,
dat het ingewikkeld en 'gevaarlijk' wordt.

Begrijp ik je goed?

woensdag 9 november 2022 15:18

Acties:

+1 Henk 'm!

Ben(V)

Nee python2 en python3 kun je gewoon naast elkaar gebruiken.

Theoretisch kan er in de python2 een security lek zitten, maar dat kan in python 3 ook.
Alleen als zo'n lek ontdekt wordt zal hij in Python 2 niet meer gefixed worden en in Python 3 wel.

Maar de kans dat het programma zelf onveilig is, is echt vele malen groter dan dat de python interpreter zelf een security lek heeft.

Maar zoals alles in het leven niets is waterdicht.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

woensdag 9 november 2022 15:35

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Ben(V) schreef op woensdag 9 november 2022 @ 13:40:
Het draaien in een VM maakt het uiteraard niet minder gevaarlijk

Een VM isoleert de applicatie van de host...

Ben(V) schreef op woensdag 9 november 2022 @ 13:40:
tenzij je die VM volkomen isoleert

Dat is een VM by definition zowat; evt. netwerkconnecties niet meegeteld, maar dat kan ook prima in een geïsoleerd VLAN etc. mocht die applicatie internettoegang nodig hebben; zo niet: stop je geen NIC in je VM.

quote: https://en.wikipedia.org/wiki/Virtual_machine
System virtual machines (also termed full virtualization VMs) provide a substitute for a real machine. They provide functionality needed to execute entire operating systems. A hypervisor uses native execution to share and manage hardware, allowing for multiple environments which are isolated from one another, yet exist on the same physical machine.

[ Voor 26% gewijzigd door RobIII op 09-11-2022 15:36 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

woensdag 9 november 2022 15:41

Acties:

0 Henk 'm!

Ben(V)

Internet toegang, file toegang, database toegang keybord toegang enz., alles kan potentieel misbruikt worden.
Iets isoleren in een VM zonder communicatie met de buitenwereld levert meestal geen bruikbare programmatuur op.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

donderdag 10 november 2022 01:19

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

Ben(V) schreef op woensdag 9 november 2022 @ 13:40:
Het draaien in een VM maakt het uiteraard niet minder gevaarlijk, tenzij je die VM volkomen isoleert, maar dan kun je er ook niet meer bij.

Als je de vm enkel draait wanneer je de applicatie nodig hebt, isoleer je het wel van de rest van het systeem. Iets wat mij veiliger lijkt dan wanneer je niets doet.

donderdag 10 november 2022 08:43

Acties:

0 Henk 'm!

Ben(V)

Met dat argument kun je elke applicatie die je hebt wel in een VM gaan draaien.
Het moet ook nog werkbaar blijven lijkt me.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

donderdag 10 november 2022 14:14

Acties:

0 Henk 'm!

Furbz

Topicstarter

Allen: bedankt voor de reacties en moeite! Ik denk dat ik niet veel dichterbij een antwoord
ga komen. Het is me nog niet helemaal duidelijk of het nou oke is of niet, omdat er hier
ook wat discussie ontstaat.

Ik heb het als volgt opgelost:
Mijn hoofdcomputer moet gewoon veilig zijn. Ik heb een T3 ssdtje liggen en ingericht als een
Big Sur installatie waarop de applicatie draait. Het is een work-around en niet heel prettig,
maar voor die paar keer per maand boot ik de SSD om het te gebruiken.
Het was chill geweest om het allemaal intern op te lossen, maar met mijn kleine beetje kennis
denk ik dat het me niet anders lukt.

Dus: ik rock de nieuwste python op Monterey en laat de oude lekker bij Big Sur.
Thanks!

donderdag 10 november 2022 14:19

Acties:

0 Henk 'm!

Gropah

Admin Softe Goederen

Oompa-Loompa 💩

Ben(V) schreef op donderdag 10 november 2022 @ 08:43:
Met dat argument kun je elke applicatie die je hebt wel in een VM gaan draaien.
Het moet ook nog werkbaar blijven lijkt me.

Dit is dan ook precies de reden dat er steeds meer/vaker software via docker word gedraaid. Een VM opspinnen duurt lang en kost veel resources. Met Docker is dat een stuk minder een probleem.

Vraag

Beste antwoord (via Furbz op 09-11-2022 14:58)

Alle reacties