Pues .. no se como funcionan en ASP las sessiones .. pero si es así como dices . .veo mas seguras las de PHP ...

Imagina q me dejo una ventana abierta de mi sitio q estoy usando en mi zona de usuario y me voy .. otro usuario entra si se pone en mi PC a "tokitearlo".. Con PHP .. si ha expirado esa session .. al hacer una nueva peticion no se reconocerá la session (pues no existe) y tu logica que tengas programada ya le mandará alguna pagina de "login" o tomara las acciones q determienes ...

En ASP que ocurririra? .. siempre se actualiza esa session? .. entonces como "expiro" una session .. he de hacerlo manalmente por algun "logout" que borre la session ?¿ ...

Lo que es PHP puedes hacer ese "logout" manual y automatico por el servidor ...

Yo creo q esto es seguro .. no se tu.

Lo del ini_set() y demas .. ya te comentó Herminio en cierta ocasión si mal no recuerdo que hay ciertas directivas que no puedes ajustar así via un ini_set() sino q tienes q meterlas en un .htpaccess ....

Un saludo,