Eso último que comentas shinblood dependerá mucho de como propages el SID. Si en ese link no propagas el SID (Identificador Único de sesión) y trabajas con la propagación del SID en cookies .. si que podrá lanzar un window.open() desde la página que inició una sesión y continuar con la sesión activa.

Si propagas el SID en cookies (con tiempo de expiración 0) y ajustas session.gc_maxtimelife (tiempo de vida útil del SID) .. no tendrías problemas si hacen eso .. por qué tu sesión ya no existirá (o el SID ya no es válido o la cookie que lo contenga ya expiró). (todo esto, siempre y cuando el último usuario cierre todas las ventanas del sitio para "matar" la cookie (si es que se propaga por el estas el SID) .. si hay alguna ventana abierta del sitio . ."cortando y pegando el URL" puede abrir tantas sesiones como quiera del sitio iguales (bajo el mismo SID si es que se propaga por el URL) o bien abrir más ventanas si las lanza de otra página y el SID se propaga en cookies (cookei activa por qué no cerró todas las ventanas del sitio que las inició).

Un saludo,