Mmmh ho appena trovato un buco.

Nel webConfig ho una scrittura così:
codice:
<system.web>
		...
		<authentication mode="Forms">
			<forms ...../>
		</authentication>
		<authorization>
			<deny users="*" />
			<deny users="?" />
		</authorization>
</system.web>
<location path="Public">
		<system.web>
			<authorization>
				<allow roles="cliente, capo, agente, interno, admin" />
				<deny users="*" />
				<deny users="?" />
			</authorization>
		</system.web>
	</location>
e giustamente se non sono loggato e provo a digitare nel browser l'indirizzo della cartella Public o una sua subdir mi rimanda alla pagina di login
MA
se invece digito l'url di un file contenuto in una subdir della cartella Public me lo da disponibile liberamente???
Ma che è sta roba?