Efectivamente, las cookies de tipo session nunca se almacenan en disco, ya que como solo "sobreviven" mientras el navegador estes abierto, no hace falta guardarlas en ningun fichero. Las cookies de session estan relacionadas con las sesiones en el servidor, ya que basicamente son un ID de la sesion en el servidor, asi que aunque tu navegador ya no tenga la cookie, la sesion en el servidor puede seguir viva hasta que caduque.

Por eso si cojes un ID de una sesion que todavia este viva en el servidor, puedes acceder a la sesion, eso se conoce como "robo de sesion".

Los IDs de sesion no son correlativos y se les supone suficientemente aleatorios para que no se puedan adivinar. Tampoco se almacenan nunca en disco, asi que en realidad un robo de sesion no es tan sencillo, a no ser que se use un sniffer para el trafico, y para protegerse de eso, si es necesario, se usa HTTPS. Otra posibilidad de facilitar, involuntariamente, el robo de sesion es habiltar el pasar los identificadores como parametro, en caso de no poder usar cookies. Ahi el ID de sesion es parte de la URL y por tanto "se ve" y alguien podria "robarlo", aunque tampoco es cosa facil.

Hay diferentes cosas que se pueden hacer para prevenir el robo de sesiones, usar cookies, hacer que los usuarios hagan un logout, comprobar la IP en cada llamada a la sesion, usar HTTPS... y mejorar la seguridad, y se usan unas u otras dependiendo del nivel de paranoia requerido por nuestra aplicacion.

S!