Los datos de una sesión se almacenan en el servidor, en un sitio al que los visitantes de tu sitio no tienen acceso. Lo único que se guarda en el cliente (navegador) es un id de sesión que sirve para identificar y asignar los datos guardados en el servidor a un visitante.

¿Es seguro? Sí, dependiendo de cómo lo manejes. Algunos ejemplos serían: Guardar una versión "hasheada" de la contraseña del administrador e ir confrontando con la base de datos en cada carga de página; asegurar la depuración de los datos de la sesión una vez que ésta ha finalizado; Destruir la sesión (y sus datos) en el "logout" de tus usuarios.

Saludos,