$host = 'domen.ru';
$session = md5('some mixed vars');
setcookie('ws_session', $session, strtotime(date('Y-m-d H:i:s', strtotime('+1 year', time()))), '/', $host);
Получается что куки ставится на ".domen.ru", а не на "domen.ru". В связи с этим, как я понял, ws_session и доступна на 2level.domen.ru.
UPD: Проблема в том что куки доступны на поддоменах.