Ciao,

bug del sistema di sessioni al momento non mi risulta ce ne siano, se usi le sessioni per creare un'area riservata devi prestare attenzione che le sessioni utilizzino soltanto i cookie e non passino l'id nell'url.
Quindi nel php.ini (oppure con .htaccess o con ini_set) imposta questi tre paramentri

session.use_cookies = 1
session.use_trans_sid = 0
session.use_only_cookies = 1

Per un login in tutta sicurezza utilizza SSL (https anzichè http)