Скажем так, если выходят к Framework патчи, значит есть проблемы. Ну а где их нет?
Про вирусы под .Net не слышал, но думаю, что написать такой не проблема - проблема в том, что платформа ещё не широко распространена и смысла в этом немного.
Так же как и писать вирус, собственно.

А какая конкретно безопасность вас интересует? В целом .Net тесно интегрирован с Windows, но имеет и свои возможности по настройке безопасности (см. Администрирование в панели управления Windows), т.е. нужно задать вопрос конкретнее.

Кроме того, у разных приложений она настраивается по-разному - например, у web-приложений и у WinForms приложений.

Я, к сожалению, писал asp.net приложения исключительно для локальной сети под доменом Win NT. Так что аутентификация Windows там вполне всё разруливала. Особенности реализации этого подхода по-моему легко найти в сети, да издесь я писал об этом не раз, на форуме по asp.net.

Анонимная аутентификация тоже понятна.

А вот другие широко распространённые подходы и сам не прочь услышать - конкретно для внешних сайтов.

+Реализация доступа с помощью форм тоже широко освещалась на форуме.

PhoenixNET hDrummer+Реализация доступа с помощью форм тоже широко освещалась на форуме.
Ну а кроме аутентификации?
Например в пхп лучше не использовать register_global = on. А в .NET есть подобные правила?

первое, что приходит в голову - не хранить в файлах конфигурации приложения (любого - asp.net или winforms) паролей к бд в открытом виде (особенно в контексте строк подключения к БД)

предлагается или хранить хэш или шифровать

этоот момент очень часто упоминается

кстати, а что делает эта настройка в php?

Скажу только, что в .net есть встроенная поддержка хэширования.
Посмотрите классы Hash, Hashtable, HashAlgorithm... в MSDN.

PhoenixNET maXmoпочему? Пароль обычно один. И даёт его админ и доступ к конфигу имеют только админ и разработчик.
Вероятно потому, что можно получить доступ к этим конфигам

именно поэтому

Тоже правда, код достаточно прозрачен, не смотря на обфускацию.

авторХешировать пароль к базе смысла нет
это почему?

Думаю, можно придумать сценарий, в котором некоторое промежуточное звено, будет сверять хэши пароля, введённого пользователем и хэш пароля к бд, решая, давать ли пользователю доступ к этой самой бд. Что-то типа трёхзвенки, + в том, что обмениваться клиент и промежуточное звено будет только хэшем.