Cita: Si sales con la X del navegador y vuelves a entrar directamente en restringida.php sin pasar por el acceso te permite hacerlo ya que la sesion sigue abierta, pregunte si había alguna forma de detectar cuando se cierra la ventana pero parece que no es posible.
Esto depende directamente de como propagues el SID. Si propagas el SID en el URL .... hasta por el historial del navegador si la sesión sigue en curso (session.gc_maxtimelife sigue activa) podrías entrar denuevo a tu sesión abierta .. lo mismo que si le pasas a alguien ese link con el SID en ella propagado.
Este tema de seguridad lo trata este documento recomendado por PHP.net directamente:
http://www.acros.si/papers/session_fixation.pdf
Otro detalle a tener encuenta aunque se propaga el SID en cookies y se defina un tiempo de vida de esa cookie como "de sesión" (cero, 0 segundos en session.cookie_lifetime = 0), ... no es válido que se "cierre" una sóla ventana del sitio para que la cookie se "muera" .. hay que cerrar toda ventana del sitio activo .. sino la cookie sigue "viva" y retomará la sesión por su SID válido.
Un saludo,