По умолчанию значения идентификатора сеанса, используемые в сеансах без файлов cookie, перерабатываются. То есть, если запрос сделан с идентификатором сеанса, срок действия которого истек, новый сеанс запускается с использованием значения SessionID, которое предоставляется вместе с запросом. Это может привести к непреднамеренному совместному использованию сеанса, когда ссылка, содержащая значение SessionID без cookie, используется несколькими браузерами. (Это может произойти, если ссылка передается через поисковую систему, через сообщение электронной почты или другую программу.) Вы можете уменьшить вероятность совместного использования данных сеанса, настроив приложение, чтобы оно не перезапускало идентификаторы сеанса. Чтобы сделать это, присвойте атрибутуraterateExpiredSessionId элемента конфигурации sessionState значение true. Это создает новый идентификатор сеанса, когда выполняется запрос сеанса без файлов cookie с идентификатором сеанса с истекшим сроком действия.
Ссылка: http://msdn.microsoft.com/en-us/library/ms178581.aspx