Una cosa es la session, y otra la cookie. La cookie deberia destruirse. Las session (el fichero con los datos), se destruyen periodicamente todas las caducadas. Ni siquiera con un session_destroy borras el fichero (solo los datos que contiene).

Para estar seguro que se destruyen los datos de la session, deben usar un link a un script logout que ejecute el session_destroy. Porque solo cerrando el navegador no se envia ningun mensaje al servidor y este no sabe si el visitante ha cerrado el navegador o tiene todavia la pagina abierta. Solo borra la session en este caso si supera su tiempo de expiracion.