Fijate en el web.config en la parte cookieless="false", la tenes que tener en false ya que si la tenes en true te muestra en la url una serie de numeros y letras que indica el id de la sesion y si copias y pegas esto efectivamente no hay seguridad.

Al ponerlo en false esto no se muestra y al copiar la url no tiene el id de sesion.