На самом деле существует число способы хранить информацию сессии (предполагающий использование ASP.NET). В памяти одна опция, которой действительно необходимо остерегаться. Я полагаю, что можно изменить его через web.config приложения. Можно использовать другие вещи как cookie или SQL Server для хранения информации состояния. Вот статья MSDN, которая говорит о состоянии сеанса ASP.NET. Вот другая статья, которая обсуждает выбор места хранения.