Suena algo ilógico tener todas las variables de session que se usan en el servidor, fuera del servidor. Y más aún tener que enviarlas por ajax cada rato.

De todas formas tu nunca debes guardar algo verdaderamente sensible del lado del cliente.


Saludos