Il bug di ASP.NET NON E' NEL MODULO DI AUTORIZZAZIONE !!!!!!!!!!!
Poca importa probabilmente, ma leggendo le tonnellate di blog (italiani, francesi, inglesi) che si sono scatenati dopo la scoperta del bug di ASP.NET, mi è venuta voglia di rimettere un link al mio post del 2/10 http://blogs.devleap.com/rob/archive/2004/10/02/1803.aspx, dove precisavo che il problema si applica a qualunque configurazione effettuata nel tag location o nel web.config di una sottodirectory del sito. Se la richiesta arriva sporca (%5c al posto dello "/" ad esempio) le classi che leggono la configurazione presente nei tag location o nel web.config della sottodirectory che ospita la richieta non riescono a eseguire un match esatto e quindi vengono COMPLETAMENTE ignorati.
Quindi il problema è ben più ampio rispetto alla sola autenticazione e autorizzazione: non viene applicata nessuna impostazione presente in o nel web.config di una sottodirectory !