He, to je dost podivná logika. Je rozdíl, jestli něco běží pod něčím a jestli něco běží jako součást něčeho (run as a part of). O každém uživatelském programu se dá říct, že běží pod kernelem, že využívá služby kernelu. Kernel má maximální práva, znamená to, že je mají i uživatelské programy? Se podívej, pod jakým uživatelem běží ty CLI aplikace, které pustíš na Windows...

Stejně jako v kernelu nebo v nějaké službě běžící s právy roota, může být chyba, která může vést k získání roota, tak může být chyba i v CSRSS. V tom rozdíl není.

Řešení by přitom bylo relativně prosté - oddělit po vzoru OS/2 konzoli Windows a DOSu. Jakkoliv řešení ála OS/2 taky žádnou extrémní bezpečností z hlediska systému nevynikalo, byl to IMHO krok správným směrem - a je s podivem, že MS tento krok nikdy neučinili.

Snad v tom byla nějaká korporační politika, snad šprajc vývojářů u MS (má to takhle konkurence, takže my to budeme mít jinak). To nemluvím o tom, že konzole Windows podporuje příkazy MS-DOSu někde na úrovni verze 5.0 (nabízí se otázka na téma vnitropodniková komunikace v rámci MS, ale to bych šel vyloženě OT).

Kdyby jenom mapovani pameti. DOSovske totiz musi bezet ve VM86, kde kazde presruseni a kazda privilegovana instrukce prepne zpet do protected modu, takze se musi odemulovat.

Navic se musi prevade adresy z Segment:Offset na linearni adresy, musi se spravne nastavit deskriptory pro registry (baze, limit, prava), LDT, brany a podobne silenosti, ktere si uz z hlavy nepamatuju.

K tomu se jeste musi pridat veci jako DPMI a obecne cely DOS extender, sluzby BIOSu (hlavne INT 0x10) plus ostatni sluzby typu mys (INT 0x33, pokud si dobre pamatuju). Proste zadna sranda.

A microsofti implementace stoji za starou belu (a nejspis zamerne), alespon ve srovnani s tim, co umel OS/2 nebo treba linuxove DOSemu. V tom jsem videl behat DOOMa i se zvukem .

K procesu csrss.exe se v odkazovane diskuzi nejfundovaneji vyjadruje Gabe. Diskuze ale predpoklada urcitou znalost Win32 a v diskuzi se primarne resi proc neni konzole kreslena pomoci vizualnich temat a proc po Vistama nefunguje drag&drop do konzole. Nicmene informace zde uvedene objasnuji, jaky je vztah csrss.exe ke konzolim a jake bezpecnostni riziko predstavuje rozhodnuti spoustet csrss.exe s vyssimi pravy.

V csrss.exe bezi smycka zprav - v podstate zaklad celeho Win32 GUI. Je to proto, ze konzolova aplikace nemusi smycku zprav implementovat (treba aplikace pro DOS). Kazde okno musi ale nejakou smycku zprav mit (resp. musi byt nejakou smyckou zprav obsluhovane) a tato smycka nekde bezet musi. Krome jednoho procesu csrss.exe pro vsechny konzole v systemu se nabizi jeste spoustet takovyto proces pro kazdeho uzivatele zvlast (resp. pro kazdy bezpecnostni token zvlast). V podstate jedinou vyhodou by byla moznost kreslit pomoci temat (ktere autori csrss.exe nechteli do procesu pro cely system tahat), nevyhodou by byl prepis celeho sytemu pro beh konzoli: odkaz.

Vysvetleni, jak (ne)funguje komunikace pomoci zprav mezi procesy na ruznych tzv. integrity levels ve Vistach, proc nefunguje a jaky to ma dopad na drag&drop do konzolove aplikace (+ srovnani s X): odkaz.

V tomto prispevku se docteme, ze rozdeleni obsluhy konzoli v GUI systemu do dvou procesu je bezne a opet je tu srovnani s X: odkaz.

Samotny konzolovy proces bezi s pravy uzivatele. Co bezi s vyssimi pravy je proces csrss.exe, ktery se stara o kresleni samotneho konzoloveho okna (analogie s X serverem bezicim pod rootem): odkaz.

Z vyse uvedeneho vyplyva, ze csrss.exe sice bezi s vyssimi pravy (a muze zpusobit pad celeho systemu), nicmene vzhledem k povaze tohoto procesu a jeho urceni je to v poradku. Vlastni kod konzolove aplikace bezi s pravy uzivatele a pad systemu (primo) zpusobit nemuze. Takoveto rozdeleni je otazkou rozhodnuti pri navrhu celeho systemu a tezko ho ted menit (kdyz v podstate neni duvod).