Voy a tratar de explicarlo claramente:
El objeto session, a diferencia de las cookies, reside en el servidor web.
Ahora, debido a que cada usuario tiene su propio objeto session, el servidor necesita valerse de una forma para vincular a cada usuario con cada una de las instancias del objeto que se hayan creado en el servidor. Esto lo hace por medio de un sessionid unico, que vincula a un usuario con una de las instancias del objeto sesssion creadas en el servidor. El sessionid se encuentra tanto en la instancia propiamente diche del objeto en el servidor como en la PC del cliente, en forma de cookie. O sea que en la cookie no se almacena el valor de la session, sino que se guarda un id unico que la relaciona con la session creada en el servidor.
Mas claro echale agua. Saludos.