Hallo Sven Rautenberg

1. Wenn man selektiv pro Skript die Sessions ausschaltet mit <%@ EnableSessionState=False %>, dann wird dennoch ein Cookie gesendet (sagt zumindest die Knowledge Base).

Falsch! Du muss den Befehl zwar auf jede Seite setzen, aber dann bist du das Cookieproblem quit!
Alternativ könntest du es auch im IIS im "Dialog Servereigenschaften" ganz ausschalten, würde ich aber von absehen, weil die sessionvars schon auch positive aspekte haben.
Gruß Burkhard