ranger-dev mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From "Rempter, A. (Adam)" <adam.remp...@ing.com.INVALID>
Subject PD: Password encryption for service definitions
Date Tue, 08 Jan 2019 13:21:11 GMT
Hello there,

While using Ranger I noticed that when I create service def with input property:
   {
        "itemId": 3,
        "name": "password",
        "type": "password",
        "subType": "",
        "mandatory": true,
        "validationRegEx": "",
        "validationMessage": "",
        "uiHint":"",
        "label": "Secret key"
      }

Ranger will encrypt it using:

if (StringUtils.equalsIgnoreCase(configKey, CONFIG_KEY_PASSWORD)) {
                             String cryptConfigString = CRYPT_ALGO + "," +  ENCRYPT_KEY +
"," + SALT + "," + ITERATION_COUNT + "," + configValue;
                             String encryptedPwd = PasswordUtils.encryptPassword(cryptConfigString);

Problem is that all encryption parameters are stored next to password (encryption key and
salt):

| 609 | NULL | 2019-01-08 10:07:33 | 2019-01-08 10:07:34 |           1 |         1 |     
82 | password                                  | PBEWithMD5AndDES,tzL1AKl5uc4NKYaoQ4P3WLGIBFPXWPWdu1fRm9004jtQiV,f77aLYLo,1000,6IxJOOpoFsJXyLNjNf/M9Q==

Even if I change default ones in  $ranger_home/ews/webapp/WEB-INF/classes/conf/ranger-admin-default-site.xml,
they will still be storred in db

Is this know issue? Basically it means that password can be decrypted with little effort…

Thanks,
Adam Rempter


ING Business Shared Services B.V. z siedzibą w Amsterdamie, Holandia, VAT PL 526-319-58-54,
działająca w Polsce w formie oddziału, pod firmą ING Business Shared Services B.V. spółka
z ograniczoną odpowiedzialnością Oddział w Polsce z siedzibą w Katowicach, ul. Konduktorska
35, 40-155 Katowice, NIP: 2050005130, wpisana do rejestru przedsiębiorców Krajowego Rejestru
Sądowego prowadzonego przez Sąd Rejonowy Katowice-Wschód w Katowicach, VIII Wydział Gospodarczy
Krajowego Rejestru Sądowego pod numerem KRS 0000702305.
Mime
  • Unnamed multipart/alternative (inline, None, 0 bytes)
View raw message