Hay un par de maneras de hace las Sesiones y eso varía en función del servidor.

Una de ellas como mencionas es usando una cookie para controlarlo y la otra es por medio de que el servidor detecte que la conexión/navegador esté abierta, y que al cerrarlo se pierde dicha conexión y se cierre.

En el caso de darle un tiempo a la sesión, es posible que si cierras el navegador antes de que expire el tiempo, al volver a conectarte esta se mantenga activa aún, yo lo que suelo hacer es decirle a la página web que al cerrar que destruya la sesión con un onUnLoad="session_destroy();", o bien por medio de un enlace para cerrar la sesión directamente.