el session es solo un objecto, y en el ejemplo de stock, la informacion se guarda en memoria. La comunicacion no es segura. Y no, no hay cookie :).

Los otros metodos son: cookies, como lo has mencionado, y modificar el URL. De lo ultimo no estoy muy seguro como se hace, creo que se genera una llave y la pones en el URL para cada usuario, por cada sesion, o algo asi va el concepto. Esto se utiliza en caso de que el usuario haya desactivado las cookies en el browser.