Se os aplicativos da web no servidor estiverem sendo executados no Medium Trust, eles devem ser impedidos de ler / gravar arquivos fora da raiz do aplicativo, mesmo com permissões de arquivo conforme você observa. Sem isso, porém; sim, qualquer aplicativo em execução no contexto do Serviço de Rede teria a capacidade de ler e gravar arquivos em seu diretório da web.
No entanto, um host da Web compartilhado bom deve ter os sites configurados assim por padrão. Lembre-se de que, mesmo sem precisar definir permissões de gravação, se todos os aplicativos Web em um servidor compartilhado tiverem mais de confiança média, eles poderão ler todos os arquivos em seu site - incluindo seu site .config, qualquer arquivo de código-fonte, todo o conteúdo do seu diretório App_Data, etc. O Medium Trust deve evitar até mesmo a leitura através dos limites dos aplicativos web.