Allora, ho controllato. Almeno sul mio computer (poi immagino che cambi da server a server) questa è la directory session

drwxrwx--- 2 root apache 4096 2008-12-31 13:36 session

quindi a parte root e apache nessuno ha accesso

e i file di sessione all'interno sono tutti tipo:

-rw------- 1 apache apache 135 2008-12-30 15:52 sess_2kop7v7ahruvjfnhn9lql8ss41

Quindi, a parte root nessuno ci ha accesso.