stai lavorando con un pc che vede sia il client che il server.

i dati sensibili devono essere su db e su db lasciati. Tu verifica che l'accesso sia autorizzato. e stop.

se la sessione non e' scaduta lato client, visto che sei sullo stesso pc, puo' benissimo rileggere la cache invece del file e considerare valido il contenuto del file di sessione.

Prova a chiudere il browser e poi vedi un po' se riesci a riprendere la stessa sessione.

Per il resto vedi tu.... se vuoi essere sicuro metti i file di sessione in una tua cartella e non in temp dove accedono cani e porci, e controlla tu il time out di inattivita' se questo e' essenziale per il tuo lavoro.