Ainda com relação a logoff no ASP.NET, um complemento ao post anterior: antes de qualquer redirecionamento, esqueci de citar que deve ser chamado o método FormsAuthentication.SignOut().  Esse sim remove o ticket de autenticação do usuário.  Recomendo ainda para quem for usar esse método que dê uma olhada em http://msdn2.microsoft.com/en-us/library/system.web.security.formsauthentication.signout.aspx.  Tem algumas questões de segurança que devem ser tratadas, para prevenir ataques de replay, como por exemplo salver o status do usuário em storage persistente.