Alguns navegadores (Firefox, Chrome) por design não limpam cookies de sessão quando você fechá-los, se você definir algum tipo de lembrar de mim (por exemplo, em FF, vá em Opções-> Geral-> Quando o Firefox iniciar-> Mostrar minhas janelas e guias da última vez). É um problema para o nosso cliente (agência governamental ...) enquanto eu tenho controle absoluto sobre o servidor http, não tenho controle sobre as configurações do navegador. O cenário é - eles são usados ​​para compartilhar contas de computador, no entanto, eles não devem ser capazes de compartilhar contas da web - simplesmente fechando o navegador deve matar a sessão, não importa as configurações do navegador.

Existe uma maneira elegante de fazer valer isso?

Atualmente, a única solução que me vem à mente é algum tipo de mudança do homem morto (trocar cookies por apenas um minuto (carimbo do tempo do servidor criptografado), e em cada página tem um "pinger" de javascript que dura 20 minutos de ping a cada meio minuto algum manipulador de "prolongar sessão" no servidor (a sessão de login deve ser de 20 minutos, vencimento deslizante).