Assurdo
Sto verificando che le regole di autenticazione sembra valgano solo per le pagine aspx ma non per gli altri formati di file.
Se io nelle cartelle inibite agli utenti non loggati metto dei file .txt , ad esempio, conoscendo l'url diventano leggibili a chiunque anche se non hanno fatto login!
In questo modo le authorization non servono a una beata marisa...