No caso uma sessão pode ser aberta por máquina + browser.
Ou seja se vc estiver com um browser aberto e abrir outro continua valendo. Se vc fecha o atual, depois abre um novo e cola a URL não vai funcionar.
Na minha visão isso não é falha de segurança, pois eu posso querer abrir um pop-up, e ai ?? vou ter q pedir q o usuário faça o login novamente ???