Hola,

Leyendo www.php.net/session tenemos que hay dos directivas gc_probability y gc_maxlifetime que se encargan de borrar las sesiones "viejas". Pero no inmediatamente, sino pasado x tiempo.

Sobre la segunda, dudo que dos session_start() generen el mismo id de sesion, por muy proximos que esten en el tiempo. Lo que puede pasar es que usen "ingenieria social" para conseguir un id de sesion valido que poner en la URL. Por ejemplo, si propagas el id de la sesion por la URL, es muy facil que un usuario despistadillo ponga en un mensaje un link a otro mensaje con el id de sesion en el link. Entonces cualquiera que use ese link tomara la sesion del que puso el link. Tambien si propagas el id por URL, si un usuario sigue un link externo directo a la web del malhechor, en esa pagina se puede saber el id por la cabecera HTTP_REFERER, que el navegador envia con el valor de la pagina donde estaba el link.

Bueno, estas son un para de opciones que hay para esa "usurpacion".

Saludos.

PD: Dejar de beber el agua del par, que fijate lo que te hace pensar.