Допустим есть форум. Кака лучше всего хранить данные пользователя, чтобы один раз залогинившись он мог заходить под своим профилем всегда?

Я бы сделал сессию долгоживущей, и держал бы ее в БД. 

Куки не люблю из принципа 

Alfmaster, то, что ты хочешь, описано в любой книге по asp.net, ищи слова Membership, Forms Authentication, Profile. А под сессией в asp.net назвается совсем другая вещь.

Добавлено через 44 секунды

Ты просто не умеешь их готовить.

Мое мнение, все то, что передается на клиента, потенциально источник взлома или утечки. Поэтому предпочитаю на клиенте хранить и отдавать ему как можно меньше.  

Что не делай с информацией которая хранится в куках, она может быть в любом случае использована против клиента, и серверное приложение об этом не узнает.

Какие вы можете предложить способы защиты данных в Cookies?

sysprog а чем тебе именно куки не угодили? Содержимое страницы ты все равно клиенту передаешь. И логин/пароль? Куки хоть шифруются/подписываются, а логин и пароль каждый раз ходят в открытом виде. Хочешь секьюрности - делай Windows Auth, TLS и клиентские сертификаты. Вот только для форума такие меры - перебор.
А сессия, которую ты предложил использовать, тоже использует куки или изменение url, что еще менее секьюрно. Так что на самом деле ты посоветовал использовать те же куки, но через левый механизм. Так что предлагаю тебе отказатся от использования сессии. И от использования ViewState - он проверяется той же парой ключей что и forms auth/session cookies. И вообще от работы по протоколу http.

PashaPash,  Спасибо подучился!