No, el problema es que session_start() requiere que NO imprimas nada antes de usarla, pero así lo haces.

Es decir, el HTML que tienes antes de incluir código PHP, debes evitarlo a toda costa.

Además la @ únicamente sirve para ocultarte un posible error y es entonces por eso que no entiendes lo que sucede.

Lo mejor es mostrar todos los errores y programar en consecuencia, jamás debes ocultarlos ni aplicar "hacks" sólo porque no pudiste hacer bien tu trabajo.

Ahora, claro que sólo los archivos PHP son capaces de ejecutar código para acceder a la sesión pero si es un archivo .html tampoco debería haber un problema porque la sesión se comparte únicamente si se ha iniciado correctamente.

Lo cual sólo es posible con archivos .php, así que los .html no deberían afectarla en lo absoluto.

También piensa que si accedes directamente a un recurso (que no es PHP ni ha invocado session_start() ni ha incluido tu script que verifica la sesión) entonces no está realmente protegido, ¿se entiende?