Nein, Session und Forms-Authentification sind voneinander getrennt. Die Einstellung "Cookieless" bezieht sich nur auf das Sessionmanagement und wird in der web.config innerhalb des "SessionState"-Tags eingestellt.
Das Authentication-Cookie wird dagegen im Abschnitt <Authentication> definiert.
Probier mal, eine Seite mit Forms-Authentication aus einem Browser aufzurufen, der Cookies nur nach Bestätigung durch den Benutzer zulässt. Damit siehst Du jeden Versuch von ASP.NET, Cookies zu setzen.
Die Session wird von ASP.NET beim ersten Request von einem Browserclient erzeugt. Die Session-Kennung kann dann entweder im Session-Cookie im Browser oder im URL-String gespeichert werden. Mit ihr werden die folgenden Requests von dem selben Browserclient zu den Session-Daten auf dem Server zugeordnet.
Wenn Forms-Authentication verwendet wird, dann erzeugt dies ein eigenes Cookie, mit der Information, daß für diesen Benutzer bereits einmal eine Authentifizierung erfolgreich durchlaufen wurde. Diese Information kann nur in einem Cookie zwischengespeichert werden. Wenn der Benutzer Cookies nicht zulässt, dann kann Forms-Authentication nicht verwendet werden.
Die Sessionkennung bleibt daher konsequenterweise auch nach dem Forms-Logout dieselbe.
Klaus
