Iba a agregar esto como un comentario sobre la excelente respuesta de Alexander, pero va a ser un poco detallado.
Cuanto tiempo se retiene la cookie en el navegador y durante cuánto tiempo los datos de la sesión son retenidos por el servidor en ausencia de una solicitud son 2 cosas separadas e independientes. No hay forma de evitar esto debido a la naturaleza sin estado de HTTP, aunque hay algunas cosas que puede hacer para mitigar lo que percibe como una falla de seguridad.
Para el navegador para acceder a la misma sesión después de haber sido cerrado y algo de retraso se requiere que tanto la cookie de sesión será retenido por el navegador (que Alexander ya se ha explicado) y para el servidor que ha conservado los datos de sesión .
El comportamiento que describes puede ser mucho más pronunciado en sistemas que manejan un bajo volumen de solicitudes y donde el manejador de sesión no verifica el TTL de los datos de sesión (no estoy seguro si los controladores predeterminados lo hacen, o si solo asuma que cualquier dato de sesión no borrado se considera actual).
No ha proporcionado ningún detalle sobre cómo se configuran los 2 servidores, especialmente la session.gc_maxlifetime.
Si el session.gc_maxlifetime ha expirado entre las peticiones, pero los datos de sesión sigue siendo accesible Esto implica que el gestor de sesiones meramente considera que este es el momento en que se considera elegible para la recolección de basura (que, semánticamente, es lo que el período de sesiones la opción de configuración es para). Sin embargo, hay un caso fuerte para tratar este valor como un TTL. Para solucionar esto, puede forzar a la recolección de elementos no utilizados a ejecutarse con mayor frecuencia y eliminar los datos de la sesión, o utilizar un controlador de sesión que ignora los datos de la sesión anteriores al límite especificado.
El que vea una diferencia entre los 2 sistemas puede deberse a valores diferentes para session.gc_maxlifetime o diferencias en la frecuencia de recolección de elementos no utilizados o incluso diferentes manejadores de sesión.
¿Usted intentó que en otros navegadores? ¿Qué navegador estás usando? El valor de vencimiento puede enviarse al navegador, pero el navegador puede rechazar la eliminación de cookies al cerrar. Comprueba también la configuración de tu navegador y prueba en otros navegadores. – mauris
Es lo mismo en Firefox y IE. Sin duda, si se trataba de un problema del navegador, lo mismo sucedería en el servidor de prueba que en el directo. El comportamiento no ocurre en otros sitios web (que lo he notado de todos modos) –
Además, ha sido notado por el cliente para quien el sitio web fue creado y ¡él no quiere que suceda! –