1. Efectivamente $save no sirve para nada.
2. No creo que sea buena idea lo que haces con la sesión y la cookie. Se presta a que alguien pueda robar una sesión. Es decir, si uno manipula una cookie en su navegador, tú automáticamente le das la sesión que corresponde a esa cookie? No parece buena idea, ¿no?

3. No sé exactamente lo que quieres hacer, pero claramente si un usuario no se registra/identifica, no creo que debas mantener sesiones de larga duración. O por lo menos no deberías confiar en que esas sesiones de larga duración sean válidas.