Из-за того, что механизм сессий завязан на куки (JSESSIONID или что там у кого настроено), а браузер позволяет настроить запрет на их использование, то есть риск возникновения неприятной ситуации, что на каждый запрос от клиента будет создаваться отдельная сессия (=создаваться объект HttpSession), что в общем то не очень то хорошо. При этом раз отключены куки, то соответственно не работает механизм сессий и функционал системы тоже становится не особо рабочим, из-за этого пользователь начинает вести себя не адекватно, генерируя все больше и больше запросов (на сервере создается все больше и больше сессий), что в конечном итоге может привести к не совсем хорошим последствиям и ситуация может усугубиться, если вдруг у вас в HttpSessionListener на событии создания сессии происходит инициализация чего нибудь тяжелого.

Итого вопрос - кто как борется с подобным?

Возможные варианты ответа (какие смог напридумывать :-) ):
1. Проводите разъяснительные работы с пользователями или администраторами пользовательских ПЭВМ.
2. У вас все пользователи грамотные, такой ерундой не занимаются.
3. Какие сессии, на дворе 21 век, у нас stateless приложение
4. Механизм сессий нашего супер сервера <сервер_нейм> завязан не на куки, а на ???
5. У нас есть супер решение, которое понимает, что у клиента отключены куки

Зря написал варианты...
В общем да, есть такая проблема, кто как решает? остальное лирика