Hola,

1) Cada navegador lo mete donde le da la gana. Consejo: usa Mozilla o Firefox, tienen un menu para gestionar las cookies: listar cuales tienes, eliminar una en concreto, ver sus valores, bloquear las cookies de un dominio, ...

2) Una cosa es cuanto tiempo es valido un SID, y otra cosa es cuando se elimina ese fichero. Borrar los ficheros es una tarea costosa (comprobar si esta para borrar o no), asi que en lugar de cada vez que haces un session_start() borrar los ficheros, con gc_probability (www.php.net/session) se controla la frecuencia de ejecucion de la rutina de eliminacion de ficheros de sesion. Como es una probabilidad, es que cada vez que se ejecute PHP (no se si es necesario session_start()) hay cierta probabilidad de que se ejecute la rutina de eliminacion.

De todas formas, aunque este el fichero, si pasan esos 24' desde el ultimo acceso, la sesion se considera no valida.

Saludos.