gksufirefoxとパスワード

gksu -u someuser firefoxのランチャーがあります。このランチャーで、現在ログインしているユーザーのパスワードではなく、rootパスワードが必要なのはなぜですか。パスワードウィンドウには、次のメッセージが表示されます。

"Enter YOUR password to run the application firefox as someuser"

ノート：

1. 私のシステムでは、すべてのSudoリクエストにrootパスワードを適用します。 /etc/sudoersには、Defaults rootpwがあります
2. someuserには/usr/sbin/nologinログインシェルがあります

Gksuのmanページによると、「gksuはsuのフロントエンドであり、gksudoはSudoのフロントエンドです。」ただし、上記の状況では、gksuはsuではなくSudoをバックエンドとして使用しています。rootパスワードが必要です（この場合、パスワードウィンドウに表示されるメッセージは適切ではありません）。
gksu -w -u someuser firefoxのように、gksuにバックエンドとしてsuを使用させると、コマンドは失敗します。
これは、someuserに/usr/sbin/nologinシェルがあるという事実に関連している可能性があります。

1. なぜSudoを使用することがデフォルトの動作であり、この状況では絶対的な要件でさえあるのですか？
2. Sudoがバックエンドであり、someuserがSudoグループのメンバーではない場合でも、gksu -u someuserが実行されるのはなぜですか？
3. Gksuのmanページはあまり詳細ではないので、これらすべての基礎となるロジックは何ですか？
4. 非常に重要なのは、この場合、Sudoとsuを実行することのセキュリティリスクは何ですか？
5. Nologinシェルで制限付きユーザーとしてFirefoxを実行するための他の選択肢はありますか？