Tja, man kann bei IIS schon Session Cookies ausschalten -
Properties > Home Directory > Configuration > App Options > Enable Session State
Ich kann mir zwar nicht so recht vorstellen dass jemand sowas auf einem richtigen Server macht, aber sicherheitshalber solltest Du das vielleicht doch abchecken.
Gruss, Mel