Las sesiones se ejecutan en el servidor, pero para que funcionen correctamente, el usuario debe tener habilitadas las cookies, puesto que el server para "recordar" a cada usuario (sus sesiones), debe tener algo "colocado" en el pc del cliente.

El servidor no puede saber si Pepito Pérez tiene la session("validado")=true (o a false), si no hay algo en el pc del cliente que informe al servidor.

Las sesiones incluyen una cookie en el cliente, que se destruye en cuanto el cliente abandona el sitio (en teoría), o bien cuando ha transcurrido el tiempo de expiración (por defecto 20 min).

Al menos creo que eso leí una vez, sobre el funcionamiento de las sesiones. Los puristas o expertos (yo soy principiante), seguro que sabrán profundizar en este tema.