Абсолютно верно. PHP хранит сериализованные данные сессии в файле на сервере. Между страницами передаётся только идентификатор сессии и передаётся он как раз с помощью cookies. Теоретически можно украсть идентификатор сессии тем самым получив доступ к данным сессии с другого устройства, но довольно просто можно сделать дополнительную защиту привязав сессию к IP например (хранить в сессии и каждый раз проверять, при изменении IP клиента - сбрасывать сессию) или же используйте SSL на своём сайте если на нём имеется достаточно важная информация, в остальных случаях я думаю можно не заморачиватся, но всё же следите за тем что вы делаете - безпосными ваши скрипты делаете вы сами, а не PHP.