settando il tempo di validita' del cookie di sessione non significa che chiudendo il browser il cookie continua ad essere valido. Dipende anche da come il browser gestisce i cookie di sessione, ma essendo temporanei questi cookie vengono tenuti solo in memoria e non scritti su disco. Se abbandoni la pagina e poi torni sulla pagina protetta entro 10 minuti il cookie resta valido, ma se chiudi il broswer non c'e' ciccia per i gatti....

Direi quindi che il settare il tempo al cookie di sessione stabilisca la sua durata di validita', sempre per 10 minuti nel tuo caso, a partire dal momento dell'ultima pagina visitata (ultimo session_start() ). Il cookie viene riaggiornato ogni volta, mentre con il tempo a 0 il cookie dura fino a quando non si chiudera' il browser. Lo stesso accade lato server al file di sessione, ad ogni session_start() viene azzerato il timeout di scadenza.

in pratica ultima apertura del file di sessione + il timeout di "session.gc_maxlifetime" => time() ed il session_id non e' piu' valido.