ASP.NET include una serie di HttpModule che in molti scenari non vengono utilizzati e contribuiscono a rendere meno performante l'applicazione, perchè vengono invocati, a seconda del loro funzionamento, in concomitanza di molti degli eventi che ogni richiesta porta con sè.

Segue una lista "estrema" degli HttpModule da rimuovere nel web.config, con un eventuale commento qualora il module sia necessario per una funzionalità di uso frequente all'interno delle applicazioni ASP.NET:

<httpModules>
  <remove name="Session"/> <!-- utilizzato dal Session State -->
  <remove name="FileAuthorization"/>
  <remove name="WindowsAuthentication"/> <!-- utilizzato in caso di autenticazione Windows -->
  <remove name="PassportAuthentication"/>
  <remove name="AnonymousIdentification" />
  <remove name="RoleManager" /> <!-- utilizzato da Role API -->
  <remove name="Profile" /> <!-- utilizzato da Profile API -->
  <remove name="ErrorHandlerModule" />
</httpModules>

Per approfondimenti sugli HttpModules si veda
http://tags.aspitalia.com/HttpModule/