Buenas de nuevo:
La seguridad siempre es importante y de hecho yo tengo puestas las dos, incluso probe con unonload de javascrip de forma que al cerrar la ventana hiciera un sesion destroy() pero la mayoria de las veces no funcionaba.
Esto viene al caso de lo siquiente:
Tienes una página www.mia.com/acceso.php, esta te pediría usuario y password, pasando despues a la página restringida.php, si el usuario y el password son correctos.
Si sales con la X del navegador y vuelves a entrar directamente en restringida.php sin pasar por el acceso te permite hacerlo ya que la sesion sigue abierta, pregunte si había alguna forma de detectar cuando se cierra la ventana pero parece que no es posible.
He visto por ahí que lo que hacen es restringir el tiempo que esta activa una sesion pero tambien da problemas, sobre todo al usuario que tiene que autentificarse cada vez que se le acaba.
Saludos