Hola.

1.- Las sesiones, tienes que verlas como variables; usa var_dump($_SESSION) y verás.
2.- Son variables, bueno ¿Donde se guardan?
3.- Que paginas puedes acceder al lugar donde se guardan y ¿por que?
Te sugiero revisar esta información.
http://www.php.net/manual/es/session.configuration.php

En lo personal, prefiero hacer un manejo de sesiones personalizado, ya que me ha tocado encontrarme con servidores mal configurados.

En el caso de sguridad, este aporte es muy bueno tambien.

http://www.forosdelweb.com/f18/seguridad-web-1004102/

Saludos.