Тут смотреть только в ту часть кода, которая отвечает за авторизацию. И дорабатывая её, а уже с этим воевать.
Просто так, зашёл и получил список пользователей онлайн, только на основании, что у них открыта сессия, нельзя. Или писать мега великий бубен с чтением файлов сессии с HDD сервера. Но их никто не писал никогда и не пишет. Только если какой "хакер", получил доступ к чужому сайту и хочет "подсмотреть" кто из пользователей онлайн. Да и то не будет заморачиваться таким способом.
Дорабатывают систему авторизации обычно, через дататайм авторизации и последующем его обновлением при гуляние по сайту. А потом смотрят, кто авторизировался за последние 5-10-15 минут.
