Estou desenvolvendo um site ASP.NET. Quero saber qual é o melhor no modo de estado da sessão: InProc ou SQL Server? Preciso ouvir suas experiências sobre esse assunto.

Outra pergunta é sobre o atributo cookieless. Existe alguma falha de segurança no meu site se eu configurá-lo como verdadeiro? Em todos os exemplos que vi no site do MSDN, esse atributo foi definido como fals

E a última pergunta é sobre o atributo Timeout. Esse atributo afeta a vida útil de minhas sessões quando eu o defino no modo InProc?