Где хранится HttpSession, зависит от реализации сервера приложений и конфигурации, выбранной установщиком. Обычно он хранится в памяти, но многие серверы приложений позволяют сохранять его в базе данных. В любом случае сеанс хранится на сервере, а не на клиенте.
Если в качестве пользователя вы имеете в виду клиента, он / она не может изменить его, так как он хранится на стороне сервера.