Así es ..

La cookie que crea PHP si propagas el SID en cookies sólo contienen la referencia del "archivo" que se crea en el servidor (la sesión en si) con el "cliente" que la podría usar (quien la inició) ..

Así que por ese lado .. la seguridad está "asegurdad" .. La paranoia de los usuarios que no aceptan cookies se debe al "desconocimiento" .. lo cual ya lo vas aclarar con ese detalle sobre que no cotiene datos "confidenciales" a la vista de todo el que use ese PC y navegador concreto.

Por lo demás .. a nivel algo más técnico .. si quieres puedes hacer mención a que si no quieren usar cookies (tu tendrías que propagar el SID en el URL) esto puede traer más problemas de seguridad de sus própios datos que las cookies pues el SID podrían pasarlo a otro "usuario mal intencionado" si por ejemplo .. dejan un link con el SID en el en un foro, un chat .. etc .... ese "otro" podría suplantar la identidad del mismo e iniciar la aplicación con el mismo SID (aunque PHP creo que desde hace ya algunas versiones comprueba el "host" que creó la sesión con el que se la pide .. a modo de validación extra .. )

Un saludo,