No indicas la configuración de sesiones que usas exactamente .. sobre todo en el tema de la propagación del SID: cookies? o URL? .. Si tu no sabes ni que es el SID (o no lo entiendes) .. entiendo que no lo propagas manualmente, por ende dependes directamente de la configuración de PHP para saber como propagas el SID efectivamente.
Cuando dices "no funciona" .. no sé si te refieres a que las sesiones en sí no funcionan o que no obtienes los tiempos esperados en la expiración de la sesión.
Es cierto que los pasos a seguir están "dispersos" en esos mensajes del foro .. pero así lo están por qué son "preguntas" que hace la gente como es tu caso y cada uno tiene sus própios problemas particulares.
Cita: ¿Porqué es mejor usar el método de la SID por cookies?
Por seguridad. La explicación más detallada la tienes en este documento que recomienda su lectura PHP.net:
Cita: Sessions and security
External links:
Session fixation <--- Este es el documento .. un PDF.
The session module cannot guarantee that the information you store in a session is only viewed by the user who created the session. You need to take additional measures to actively protect the integrity of the session, depending on the value associated with it.
Assess the importance of the data carried by your sessions and deploy additional protections -- this usually comes at a price, reduced convenience for the user. For example, if you want to protect users from simple social engineering tactics, you need to enable session.use_only_cookies. In that case, cookies must be enabled unconditionally on the user side, or sessions will not work.
There are several ways to leak an existing session id to third parties. A leaked session id enables the third party to access all resources which are associated with a specific id. First, URLs carrying session ids. If you link to an external site, the URL including the session id might be stored in the external site's referrer logs. Second, a more active attacker might listen to your network traffic. If it is not encrypted, session ids will flow in plain text over the network. The solution here is to implement SSL on your server and make it mandatory for users.
Cita: ¿Porqué el htaccess donde está lo de las cookies no funciona, qué me sobra o qué me falta?
En un .htaccess defines según la sintax php_flag o php_value valores de directivas de PHP que puedas alterar bajo esa modalidad (no todas se pueden configurar así .. pero las que usas Sí).
En tu caso a todas dices "php_value" .. pero eso lo debes usar cuando es un "valor" .. cuando es un "1/0 .. true/false .. un "boleean"" ahí tendrías que decir "php_flag" (teóricamente). Por ahí podría estar tu problema .. (por mi parte no te lo puedo corroborrar, no lo he probado personalmente).
Cita: ¿Afecta mucho que deje el que sí me funcionó con el probability y el divisor en 1, aun si sólo habrán uno o dos usuarios que no entrarían a diario?
Si te soy sincero .. yo nunca ajusto ese valor .. dejo el que PHP me dá por defecto. Pero, es cierto que ese valor vá directamente proporcional a las veces que se inicia una sesión o se accede a ella, es decir .. al porcentaje de veces que se usa "session_start()" en tus scripts de tu aplicación y en general de todos los que ese servidor corra. Si ajustas ese valor demasiado bajo y tienes muchos inicios de sesión .. el proceso de "garbage (basura recolector) se iniciará muchas veces .. sieno no tan necesario y por ende consumiento más recursos del servidor. Justamente para eso se inventó el proceso de "recolección de basura" (garbaje) .. por eso las sesiones al "expirar" no se eliminan al instante sino que son "marcadas" como "esta es para que la borres cuando toque" .. es como "sacar la basura" .. cuando pase el "caminón" a recojerla y llevarsela de la puerta de tu casa eso ya es otra cosa. Pero como veras en este "simil" .. tu puedes saber que pasará la basura 1 vez al día y como no produces mucha .. no se te acomulará mucha en tu puerta .. pero si tu generas más basura te interesará que pase "2 veces" al día en ese caso .. por eso se ajusta ese "porcentaje" y va en función de las veces que creas sesiones.
Un saludo,