Ok creo que entiendo el funcionamiento

Realmente lo que se guarda en la cookie del cliente es el SID que lo relaciona con su sesion en el servidor asi que las variables son guardadas en el servidor mediante _SESSION. Si quiero guardar alguna variable en la cookie utilizo _COOKIE.

En el momento que yo pongo session.cookie_lifetime = 0 obligo a que la cookie en el cliente expire al cerrar el navegador. Si combino esto con un session.gc_maxlifetime bajo, conseguiré que el SID caduque pronto y no sea valido (a la expera del recolector de basura, un 100% de uso para dicho recolector es correcto o es demasiado??).

El unico problema que le veo al uso de cookies es que algunos navegadores no las dejan pasar o estan deshabilitadas asi que tienes que morir al uso de URL :(. Si no he leido mal en algunos mensajes del foro el SID se pasa automaticament por URL si asi lo configuras aunque no recuerdo cual es la directiva que lo habilita.

De todas formas si yo combino el paso del SID por URL junto con la IP del usuario que la creó (esto lo guardo en el servidor) puedo confirmar que quien está accediendo mediante esa sesion es quien dice ser. Aunque si la asignación de IPs en el cliente verdadero es dinámica obligo a que éste se registre o se valide (si que estoy implementando un sistema de validacion). Es "segura" esta alternativa URL+IP al uso de cookies??.

Gracias.