Siempre que el directorio que indiques en session_save_path() quede "fuera" de tu DOCUMENT_ROOT de tu própio sitio no tendras problemas de seguridad.

Si usas un servicio de hosting donde tienes el tipoco directorio "public_html" o similar donde ahí publicas tus páginas HTML/PHP/etc y que son accesibles vía URL tipo: http://www.tal.tal/nose/archivo.tal .. create un directorio para las sesioens que esté "arriba" de ese public_html para que no quede accesible vía HTTP (por el URL). Sino, .. conociendo el SID (que lo ves en la cookie/url donde lo propages) y poniendo sess_SID en el URL (http://www.tal.tal/sesiones/sess_SID) podrías acceder a una sesión abierta y leer todos sus datos desde el navegador ...

Si en tu hosting no puedes dejar fuera un directorio del alcance del "DOCUMENT_ROOT" . .usa al menos algún .htaccess/.htpass para proteger ese directorio (u otra configuración del servidor HTTP para tal fin).

Un saludo,