Pero eso no es ejemplo de que mantener sesiones sea malo, es ejemplo de potenciales problemas debido a errores del usuario, si entra a su correo en una computadora pública y se va sin cerrar sesión, es completa responsabilidad del usuario.

La sesiones tienen caducidad, donde el IIS al no recibir peticiones después del tiempo que se le ha definido, termina la sesión de forma automática, el programador debió haber colocado código para no dejar entrar a una página que no tenga sesión habilitada, claro esta que la página que se este viendo en ese momento permanecerá mostrando la información "confidencial" hasta que no se intente de nuevo llamar al server.

En los bancos se implementa una llamada javascript al server cada cierto tiempo para ver si ha habido o no actividad y después de X minutos sin ella, se caduca la sesión en el server desde el servidor Web y se cierra la ventana del navegador con javascript.

Todo tiene sus "asegunes", debieras pedirle a tu jefe que te exponga sus motivos y tu sopesar si efectivamente son aplicables a tu caso, quizá no quiso decir que no sean buenas, sino que no son necesarias (en esta página en particular), aunque una seguridad basada en javascript y nada, es casi lo mismo.

Saludos