Hello there,
While using Ranger I noticed that when I create service def with input property:
{
"itemId": 3,
"name": "password",
"type": "password",
"subType": "",
"mandatory": true,
"validationRegEx": "",
"validationMessage": "",
"uiHint":"",
"label": "Secret key"
}
Ranger will encrypt it using:
if (StringUtils.equalsIgnoreCase(configKey, CONFIG_KEY_PASSWORD)) {
String cryptConfigString = CRYPT_ALGO + "," +
ENCRYPT_KEY + "," + SALT + "," + ITERATION_COUNT + "," + configValue;
String encryptedPwd =
PasswordUtils.encryptPassword(cryptConfigString);
Problem is that all encryption parameters are stored next to password
(encryption key and salt):
| 609 | NULL | 2019-01-08 10:07:33 | 2019-01-08 10:07:34 | 1 |
1 | 82 | password |
PBEWithMD5AndDES,tzL1AKl5uc4NKYaoQ4P3WLGIBFPXWPWdu1fRm9004jtQiV,f77aLYLo,1000,6IxJOOpoFsJXyLNjNf/M9Q==
Even if I change default ones in
$ranger_home/ews/webapp/WEB-INF/classes/conf/ranger-admin-default-site.xml,
they will still be storred in db
Is this know issue? Basically it means that password can be decrypted with
little effort…
Thanks,
Adam Rempter
ING Business Shared Services B.V. z siedzibą w Amsterdamie, Holandia, VAT PL
526-319-58-54, działająca w Polsce w formie oddziału, pod firmą ING Business
Shared Services B.V. spółka z ograniczoną odpowiedzialnością Oddział w Polsce z
siedzibą w Katowicach, ul. Konduktorska 35, 40-155 Katowice, NIP: 2050005130,
wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego
przez Sąd Rejonowy Katowice-Wschód w Katowicach, VIII Wydział Gospodarczy
Krajowego Rejestru Sądowego pod numerem KRS 0000702305.
