la única característica para que la sesión no expire, es establecer a la cookie que no expire, realmente no entendí que es lo que quieres lograr: ¿permitir al usuario tener la sesión siempre activa, o que?

sin la cookie, no puedes reconocer al usuario en sesión, y dentro de las formas de "robar" esa cookie de sesión, existen los ataques XSS, que son los que debes prevenir.