Cuando creas una sesión , se guarda en el navegador del usuario una cookie que tiene un id de sesión , php guarda en el servidor la info de sesión por cada id creado. Para diferenciar el usuario uno del usuario dos, php simplemente lee esa cookie se fija cual es el id y busca la info correspondiente en el servidor. Si el usuario 1 le copia la cookie al usuario 2, y la reemplaza, accede al sitio como si fuese el usuario 2 ¿Peligroso, no?