sono sul filesystem... ma non necessariamente le tieni in /tmp
puoi fare un set_ini per il path dove salvi le sessioni
anche perche' (speciamlemnte se sei in hosting) non mi pare il caso di mettere le sessioni tutti nello stesso posto... questo vale ancora di piu' se hai un cluster di macchine (dove la /tmp e' accessibile dalla singola macchina e quindi potresti perdere la sessione navigando)

ad ogni modo tutte le tue obiezioni sono piu' che legittime, e utilissime per trovare soluzioni di sicurezza sul sistema;

ho anche una classe simile che pero' non usa le sessione del php ma (con lo stesso sistema) se le salva sul db, questa oltre ad essere piu' lenta scrive comunque nel filesystem (nei files del db) che sono accessibili con lo stesso metodo che dicevi (spesso in /usr/local/mysql/data), se poi c'e' phpmyadmin allora e' veramente una pacchia