session の invalidate
これが例えばニコニコ動画だと、違う。それが同一 session と見なされるには、cookie中のsession IDが一致するだけではなく、User Agent(ブラウザー)も一致しなければならないのだ。試しにブラウザーを二つ立ち上げて(例えばFirefoxとIE、FirefoxとSafariなど)、片方でログインしてからもう片方でもログインして、もう片方に戻ってページをリロードしてみるとそれがわかる。おそらくIP Addressの一致も見ていると思うのだが、こちらの方は未確認。
んー、ニコニコのは UserAgent やら IP を見ているとかじゃなくて、ログインされたときにそのユーザの既存 session を invalidate しているだけじゃないかなぁ。
というか、Firefox の cookie つかって(UserAgent の設定なしで) Python/Perl のスクリプトからアクセスできることは確認しているので、たぶん UserAgent は見ていないかと。