@TE: Dazu solltest du wissen, das die Sessiondaten selbst (also quasi der Inhalt von $_SESSION) am Webserver liegen, und (idR) in einem Session-Cookie ist nur die Session-ID vermerkt ist, damit quasi der Server den ClientBrowser wiedererkennt.
Ev. noch interessant dazu - Sessions können "geklaut" werden:
Kommentar