Todo, es así. El servidor crea una cookie en el cliente con.. un... identificador... que le permite saber qué variable session le corresponde al cliente.
Igual con que el cliente acepte cookies temporales va a funcionar sin problemas la variable session.

Ya hay un tema donde se trata esto mismo con muchas posturas diferentes pero en donde finalmente se llega a una respuesta muy similar a la que di. Si lo encuentro te paso el enlace.