Hola Cluster, muy interesante el documento de Session Fixation. Con eso ya me queda claro porqué usar Cookies.

Sobre el tema del php_values y el php_flag, según la documentación de www.php.net/php_values, el php_flag se usa sólo para valores booleanos que se expresan en términos de "on|off". De todos modos probé ambas combinaciones y el resultado fue el mismo.

Para salir de dudas de si era por algún error en el .htaccess, hice lo mismo vía ini_set() y el resultado fue el mismo.

Al decir que no funciona, me refiero a que la sesión no dura lo esperado. Es decir, el SID sí se propaga correctamente.

Gracias por tu explicación sobre el garbage collector. Ya con eso me queda claro el papel del probability y el divisor.

Gracias por la ayuda :)