Tja, man kann bei IIS schon  Session Cookies ausschalten -

Properties > Home Directory > Configuration > App Options > Enable Session State

Ich kann mir zwar nicht so recht vorstellen dass jemand sowas auf einem richtigen Server macht, aber sicherheitshalber solltest Du das vielleicht doch abchecken.

Gruss, Mel