mmm per fare una cosa simile senza cookie non credo che sia possibile, almeno per il session_id ne hai bisogno.

Quello che puoi fare è impostare un session timeout ad uno o due minuti ed un controllo sull'ip, salvandoti quello che l'utente sta usando nel DB, di modo che se l'utente fa login da un'altra parte, il record nel db cambia, ed il primo Browser non è più attivo.