dubbio sulla sicurezza

[afrappe]

sto facendo una prova di accesso
nel web config per ora ho specificato solo questo (e nient'altro)

codice:

<location path="area riservata">
    <system.web>
      <authorization>
        <allow users="*" />
        <deny users="?" />
      </authorization>
    </system.web>
</location>


<authentication mode="Forms"/>

quando tento di accedere ad una pagina della cartella "area risevata"
dovrebbe bloccarmi invece mi fa entrare(premetto che non ho fatto nessun login quindi non mi sono autenticato)


le impostazioni specificate nel web config dovrebbero leggersi in questo modo: autorizza tutti gli utenti autenticati e blocca quelli anonimi giusto? (relativamente alla cartella che ho specificato) giusto?
perche mi fa entrare? forse mi vede come autenticato anche se nn ho fatto il login? e con che sarei utenticato visto che ho specificato come modalita di autenticazione form?capivo se l'autenticazione era windows allora avrebbe preso l'utente con cui sono loggato sulla macchina,
come posso vedre il nome dell'utente che gli risulta loggato(se cosi è)?

[cassano]

Metti solo

<deny users="?" />

[afrappe]

cosi funziona!!! come dovrei scrivere però per far entrare nell'area riservata solo utenti appartenenti al ruolo "amministratore", non devono entrare gli utenti che nonostante siano loggati non appartengano a questo ruolo

poi un'altra cosa, l'accesso alle pagine contenute nella cartella protetta mi viene negato correttamenyte, ma cmq la cartella me la fa sfogliare(mi è chiaro che questo si puo impedire dal web server) ma non dovrebbe cmq essere bloccato anche dall'applicazione?
quando dico deny(nega solo sulle pagine contenute o su tutta la cartella in genere?)

[cassano]

codice:

<deny users="?" />
<allow role="XXX" />

Leggi qui