SSL не имеет значения в вашем вопросе (единственное исключение - когда используется аутентификация на стороне клиента и сервер аутентифицирует пользователя по сертификату, а не по какой-либо удаленной информации).
В общем случае ответ зависит от того, как именно сервер организует «сеансы», т. Е. Как клиент идентифицируется между запросами. Обычно это осуществляется с помощью куки. И куки могут содержать (или не содержать) IP-адрес клиента и другую информацию, которая доступна серверу по запросу. Таким образом, если пользователь может передать cookie-файл из одного браузера в другой, сеанс можно продолжить. Если cookie не привязан к IP-адресу, его можно перенести (или украсть, кстати) на другой компьютер и использовать там.