Solucionado
Como o "SESSION ID" é associado ao cliente? ele cria um atributo e em toda requisição esse atributo é verificado?
Como o navegador sabe que um cookie é específico pra um domínio? e como ele sabe que em toda requisição esse cookie tem que ser enviado?
Quando eu escolho a opção de manter-me logado, é usado um cookie igual em fazer login com um "SESSION ID" gravado? se for assim como eu protejo esse cookie caso outros servidores tentem acessa-lo?
Isto é trabalho do próprio navegador em manter o SESSION ID, a própria engine é que mantém e cria este cookie para cada dominio, não é algo que você precisa se preocupar em relação à segurança destes cookies.
Em relação ao login, o cliente mantém somente o hash, mas é trabalho do servidor avaliar se essa sessão é válida, quando enviada a requisição ao teu servidor. Por debaixo dos panos existem algumas coisas relacionadas à segurança como CORS e outras coisas, no decorrer dos seus estudos na area de front ou backend você irá aprender melhor sobre isto.