Como o cancelamento permite que ela veja o site ainda, aposto que é uma das dependências da página que requer autenticação. Pode ser .css, .js ou talvez um anúncio, ou algo que o ambiente dela adiciona à página por meio de um servidor proxy.
Você pode testar isso dando a ela uma página test.html que simplesmente diz "Teste". Se ela puder revisar isso sem um aviso, então minha teoria está correta. Se minha teoria estiver correta, revise a página para descobrir qual arquivo não é permitido e localize isso para descobrir o motivo.
Como você só deseja permitir acesso anônimo, é possível remover todas as outras formas de autenticação para descartar isso. No entanto, acho que é algo mais que isso.