Hay un problema evidente que no tuve en cuenta, en el ascx está la inicialización de los controles, y cuando cargas el control desde la clase te estas perdiendo esa parte .
http://msdn.microsoft.com/en-us/library/ewtd66a0%28v=VS.90%29.aspx#CommunityContent (último comentario)

Saludos

¿Y todo eso que propones lo consideras seguro?

Saludos

Gracias, el único problema que tengo ahora es con la ejecución de cross domain request desde las extensiones, y los callback de las funciones 

HTML + javascript

Si, ¿por?

Type t = Type.GetType("Themes.themeelegido.Default");
Control theme = (Control)LoadControl(t, null);

Con algo como esto debería de funcionar, pero no lo he probado

Saludos

Tengo la implementación casi terminada, pero no como parte del foro, a nivel local.
Los nuevos botones los genero por medio de una extensión para Chrome, o por medio de un userscript para Greasemonkey (Firefox) o Tampermonkey (Chrome). Los favoritos se almacenan por medio de un "servicio" creado en Google Apps Script, así que simplemente hay que estar logueado con la cuenta de google

Saludos

Los SP están precompilados y se agregan al plan de ejecución de MSSQL, por lo cual son más performantes. Por otra parte, no se considera una buena práctica el tener las query directamente en el código de la aplicación.
En lo que respecta a la seguridad que se refiere Darhius, dado que recibes los valores como parámetros de los SP, ayudan a  mitigar los SQL Injections. Adicional a lo anterior, desde MSSQL podrías dar solamente permisos de ejecución de SP a un usuario, con lo cual no podría ejecutar un SELECT de ningún modo que no sea por medio de esos SP, sin tener en cuenta la posibilidad de cifrar su código.

Saludos

Hacer una función para cada lista que te devuelva sus elementos

Saludos