Det ligger till så här.....

Ett konto som skapas är ju ASPNET när man installerar själva Framework:et
Detta konto ska ha behörighet till många olika kataloger...
Blandannat Microsoft.NET som finns under WinNT-katalogen

Kontot ska även ha tillgång till Inetpub-katalogen....

Här kan man läsa mer om vad kontot ska ha tillgång till...
http://support.microsoft.com/default.aspx?scid=kb;EN-US;317012

Om vi även säger att man råkar ut för den här buggen, så man måste ange ett
användarnamn och lösenord i en config-fil som ligger under Microsoft.NET...
http://support.microsoft.com/default.aspx?scid=kb%3ben-us%3b315158

Nu kommer vi till själva problemet....
När en kod körs via en aspx-sida så använder den sig av kontot ASPNET...
och inte IUSR_.... det innebär att om man kör ett konto som vill läsa alla
filer ur katalogen C:\WinNT\Microsoft.NET\... så får den det..!!!!

Detta MÅSTE vara något fel....
För säger man att ASPNET inte ska ha tillgång till den katalogen så funkar inte
sidorna....

Finns det något som kan hjälpa mig med detta?....
Mvh
Johan

Jag vet inte om du lyckades förklara vad ditt problem är. Vad är det du uppfattar som en bugg? Att ASPNET kontot får läsa Microsoft.NET katalogen eller att ASP.NET inte funkar om du nekar den rättigher... förvirrad.

Ok.... vi säger så här... =)

Jag tycker det är en bugg när (om man har en webserver där man delar ut
så att andra kan lägga upp sina sidor)... så kan en person göra en asp.net-sida
som innehåller ett script som läser in alla filer C:\WinNT\Microsoft.NET\*.*

Då ser han alla filer.... och kan lätt göra ett nytt script som läser in de filer
han vill ha.... och då kan få ut konto-namn och lösen...

OCH.. eftersom ASPNET-kontot ska ha tillgång till C:\Inetpub\*.* så kan han
även där läsa in alla filer... och hämta info från andras sidor... som man han
inte borde få göra....

Detta anser jag vara en bug... =)
Någon som vet varför det är så??

Mvh
Johan.NET

hur hade du tänkt att ngn utanför servern skulle skriva ett sådant script?

Det är väl inte det han säger?
Utan att om man har x antal konton på servern får varje användare (kontoinnehavare) tillgång till de andras konton på detta vis. (om jag tolkat honom rätt)
Och det är inte bra alls.

Precis så.... och eftersom ASPNET ska ha både skriv och läs rättigheter så
kan någon kontoinnehavare skapa ett skript som tar bort filer... och då förstöra
andras sidor eller "hackar" sidorna....

Funderar stakt på att sluta "host" sidor på min server.... =/

Mvh
Johan.NET

som jag förstår det så körs sidorna fortfarande i IUSR-kontot, ASPNET kontot används bara för att framework:et ska kunna kompilera sidorna och liknande.

Läs mer på: http://samples.gotdotnet.com/quickstart/aspplus/doc/authandauth.aspx