Da musst du den Webserver befragen. Das hängt dann von diesem ab. Bsp. stellt die API des TOMCAT diese Informationen bereit

Die Frage ist auch ob sie tatsächlich die Session eines Webserver benutzen oder ob sie das irgendwie selbst bauen.

sie bieten aber auch an die noch aktive Session zu killen. Spätestens da muss man ja auf die fremde Session zugreifen können. (nicht unbedingt auf die Daten, aber zumindest die ID killen)

Wenn ich mich nicht abmelde, kommt beim nächsten einloggen der Hinweis "blabla Sie haben vergessen...." und der Cookie wird geändert. Diese "vergessene" Sitzung erscheint da in der Liste nicht

Hier geht es um AKTIVE Sitzungen. D.h. ich wäre von 2 PCs eingeloggt. Ich könnte also feststellen, ein Unbefugter ist zurzeit in meinem Account

Ja und wenn ein Hinweis auf weitere aktive Sitzungen angezeigt wird, dann bin ich ja nicht in der gleichen Sitzung sondern in einer neuen Sitzung. Die SitzungsIDs kann ich mir durch eigene Programmierung beim Erstellen einer Sitzung merken, das ist nicht das Problem.

Für meinen Fall am IIS und ASP.NET ist noch ungeklärt wie ich prüfen kann ob eine bestimmte SitzungsID noch aktiv ist (Vergleich mit meiner Liste, bei Klick auf Logout kann ich die Liste bearbeiten, bei Browser schließen bekomme ich das nicht mit).

Weiterhin wie ich dann diese SitzungsID die zu meinem Benutzernamen passt und vergessen wurde abzumelden oder wo einer meinen Login verwendet, abmelde. Session.Abandon lässt keine weiteren Parameter wie SitzungsID zu. Ist ja auch klar ein Sicherheitsfeature sonst könnte ich auch andere Benutzer einfach abmelden.

Dann fällt mir noch ein dass ich bei jedem Request prüfe ob ich die aktuelle Sitzung abmelden muss. Dann warte ich aber beim Killen der verwaisten Sitzung darauf dass sich einer in meinem nicht abgemeldeten Sitzung "bewegt". Wenn ich als Betreiber weiß dass er beim nächsten Request abgemeldet wird, könnte ich dem User auch vorgaukeln dass die aktive Sitzung abgemeldet wurde und aus der Liste verschwinden lassen...