Ville att mitt webhotell skulle sätta skrivrättigheter på en mapp i web-strukturen för APSNET usern.

De rekomenderade att skriva <identity impersonate="true" /> under <system.web> i Web.config.

Blir inte hela siten oskyddad då?

Nej, vad som händer då är att din applikation får identiteten av den användare som ropar på dina sidor.

I de flesta fallen kommer det att vara IUSR_xxx (Anonymous Logon) om du inte har låst ner några filer med NTFS filrättigheter (ACL's) som inte tillåter IUSR_xxx att accessa dem.

I så fall kommer IIS'n (om den är konfigurerad för BASIC, DIGEST eller INTEGRATED WINDOWS Authentication) beroende på autentisersingsmodell, att försöka identifiera och autentisera användaren som surfat till din sida. Lyckas den med det så kommer din applikation att få användarens identitet, lyckas den inte kommer den att ge ett 403-Forbidden svar till användaren.

Vad de borde göra är att öppna den mappen du ville skriva till för ASPNET användaren på maskinen. Det är den användare som By Default exekverarar alla asp.net applikationer.

Du kan också titta lite på Isolated Storage.