Stai mescolando la "sessione" come identificatore corrente del tuo browser / tu in un'applicazione web e la sessione dell'utente nel suo computer, cioè tutte le schede aperte.
Ora per le altre domande:
If I stop the computer with my web-app, and then start it again before
the timeout set on the session on the server expires, then anybody
that starts the computer and clicks "restore session" could continue
in my web-app where I left off.
Dipende da come hai definito la durata della sessione & scadenza. È possibile definire la sessione in scadenza alla chiusura del browser. Se fatto, l'utente non sarà in grado di ripristinare la sessione quando riaprirà il suo browser. Ora se hai definito una durata, dipende se la sessione sarà scaduta o meno.
Is there any way to kill the sessions after I close the browser like in IE and Google Chrome?
Come ho detto, basta definire nessuna data di scadenza per la sessione di cookie (se la si utilizza in questo modo) per scadere quando il browser è chiuso e andrà bene (vedi Wikipedia per quello.)