Klar, auch das kann man faken, aber so ohne Weiteres sollten ein SessionCookie von Browser PC-A bei Browser PC-B doch nicht laufen, oder etwa doch ?
Doch, denn auch z.B. die
IP kann sich ändern (z.B. Wechsel zwischen W-LAN und Mobilfunk). Du kannst ein Gerät nicht immer eindeutig identifizieren.
Wenn eine weitere bestehende Session weiterlebt, wenn das Passwort geändert wird, würde ich das allerdings als grob fahrlässigen Fehler einstufen. Das geht gar nicht.