Stavo scorrendo un documento di ricerca di Google relativo alla separazione dei privilegi e mi sono sentito perso durante la lettura di questo:
In Unix, every process runs within its own protection domain, i.e., the operating system protects the address space of a process from manipulation and control by unrelated users. Using this feature, we accomplish privilege separation by spawning unprivileged children from a privileged parent. To execute privileged operations, an unprivileged child asks its privileged parent to execute the operation on behalf of the child. An adversary who gains control over the child is confined in its protection domain and does not gain control over the parent.
Non riesco a capire come sia possibile. Se le istruzioni vengono eseguite dal genitore per conto del figlio interessato, perché un utente malintenzionato che accede al processo figlio non può manipolare il processo padre per eseguire istruzioni privilegiate, ancora per conto del processo figlio?