Lo de la duración de una cookie es muy sencillo, los números que están después del time() son los segundos que se le sumarán a los segundos que han pasado desde el 1 de enero de 1970 al momento en que imprimes time(), en el ejemplo que pones el resultado es 31 556 926 segundos, el equivalente a un año, por lo tanto sumando el resultado a time() será una año después de la fecha que se ah definido la cookie.

Sobre el tiempo en sesiones hay dos formas, una perecida y otra donde se lleva el control "manualmente", a primera es definir el tiempo de sesión mediante la modificación del parametro "session.gc_maxlifetime" con ini_set, de la misma forma que con las cookies, es necesario indicar el tiempo en segundos, por ejemplo: ini_set("session.gc_maxlifetime",3600); lo cual seria lo mismo a una hora, sin embargo, con este metodo no importa si en esa hora el usuario esta muy activo o si abandonó el equipo, la sesión se cerrará, la otra forma es llevar el control "manualmente", crea una variable de nombre "tiempo" por ejemplo, y le agregas como valor time(), después en cada página vas verificando los segundos que han pasado, si sobrepasan el tiempo limite, destruyes la sesión, si no ha pasado el tiempo limite renuevas el valor de la variable tiempo....