А говоря что сессии - теже самые куки, я имел в виду то, что для работы сессий необходимо чтоб клиент передавал идентификатор сессия при каждом запросе к сайту. Что достигается 2 путями:
- передача идентификатора метом GET
- передача идентификатора сесси через куки
Отличае сессий (на куках) от кук только в том, что именно передается и все.
А что меняется если я подберу идентификатор сесси, которая в данный момент активна? Года 2-3 назад я практиковал такой метод для получения админских прав на форумах, даже сейчас этот вариант много где прокатит (помеха может быть тут только одна - ip пользователя, больше ничего не спасёт, хотя и это в некоторых случах обходится).