Mi restituisce la seguentecosa:

Arrayarray(4) { ["username"]=> &string(10) "paperinik4" ["password"]=> &NULL ["attivo"]=> &int(1) ["pass"]=> &NULL }
questo è l'output di var_dump($_SESSION);

quindi ora l'utente è loggato !!!

la faccio io una domanda, perchè salvare la password in sessione?

a questo punto quello che non funziona è il redirect
header("Refresh: 10;URL=paginaris.php");

ma piuttosto che darti la soluzione dovresti leggerti il link che ti era stato suggerito sul redirect