1. Почему сессии живут до закрытия браузера?
2. Как тогда различаются пользователи?
3. Как храняться данные, если cookie не работают?

1) они хранятся не до закрытия браузера:
- с чарующей одной стороны, сессию можно считать потерянной, если потеряны куки (вот они-то великолепно хранятся до закрытия браузера, но не всегда);
- с другой, сами файлы, где лежит инфа, которую передавали через сессии регулярно удаляются с сервера (автоматически).
2) у разумно каждого пользователя, который уже заходил и логинился, в куках указан id сессии, который является именем файла, где хранится, например, логин или id пользователя. Т.о. для каждого человека
создаётся прекрасный новый файл сессии.
3) в этом случае сессия потеряется, когда пользователь закроет страницу. Можно утверждать, работает так: начиная с того момента, как потрясающе запускается сессия, автоматически (это делает сам сервер)
ко всем ссылкам в пределах данного сайта в конце приписывается ?PHPSESID=... или &PHPSESID=... - т.е. надёжный идентификатор сессии сногсшибательно передаётся как get-параметр от страницы к странице.