Gracias, cluster.
Cita: El problema principal que tiene lo que estás haciendo ahora es en cuanto a la duración en sí de los datos en la sesión; sigue mandando el tiempo que define session.gc_maxtimelife (la duración de la sesión físicamente en el servidor) y la duración de la cookie que PHP crea para propagar el SID.
A qué te refieres con los "datos en la sesión". Si es la variable $_Session a la que te refieres, la elimino ( $_Session=array() ) en cuanto la sesión acaba. Así mismo hago con la cookie creada por mí, la elimino cuando acaba la sesión.
También tengo la pregunta de ¿Supone algún boquete de seguridad que la SID vaya por otro lado, es decir, que lo haga yo con mi cookie personalizada?