Und mit Zeos funktioniert der Zugriff trotz Anmeldung mit einem nichtexistierenden User?
Das wäre für mich eindeutig ein Fehler.
Embedded braucht doch überhaupt keinen Usernamen. Wo soll der auch gespeichert werden, die Security-Database ist doch gar nicht mit dabei.... da kannste Dich anmelden als User "bla" Passwort "fasel" und es geht auch.
Bei FireBird <3 benötigte man kein gültiges Passwort. Benutzerrechte konnten aber angelegt werden. Ab FB3 kann man auch bei embedded einen Security-Datenbank konfigurieren ( ohne, eigene, in Datenbank)