Ya lo he leído.

1. Entiendo que sí, que usan cookies. Entonces, ¿cuál es la diferencia entre cookies y sesiones?
Otra pregunta surgida de ésa:

1.1. ¿En ASP las sesiones funcionan igual, con cookies?

2. Entiendo que PHP no te guarda nada encriptado. Entiendo y no sé si esto es correcto, que en el cliente se guarda en forma de cookies un identificador que debe coincidir con otro del servidor, para acceder a las variables de sesión. ¿Correcto?