Pues depende de la configuración de PHP ...

Si propagas el SID en una cookie .. la cooki por defecto expira a "0 segundos" osese, al cerrar tu navegador expira .. Si tienes un tiempo mayor .. en ese tiempo podrías entrar a tu página sin problemas ...

Esto lo determina la directiva:
session.cookie_lifetime

Tambien afectan otras directivas:
session.gc_maxlifetime = 0
session.cache_expire = Usalo a 0 y no tendras problemas ...

Por mi parte .. suelo usar "forzar" a PHP a que me "expire" el "caché" siempre:

session_cache_limiter('nocache,private');
(despues de todos tu sesion_start() que uses ..)

Y también puedes ajustar tu tiempo de expiración a mano via:

session_cache_expire(segundos);

Yo uso session_cache_limiter() .. y no dependo de la configuración del servidor (pues así la fuerzo yo manualmente en mis scripts) .. Sé que puede dar problemas esas cabeceras con algún navegador .. (sobre todo la del private si mal no recuerdo en algún síto que lei ...).

Un saludo,