Cookies ou Sessões

e outra duvida... onde são armazenadas as variaveis registradas em uma sessão? no servidor ou no cliente?c o cliente fechar o navegor a sessao eh automaticamente destruida sem a necessidade do session_destroy??e alguem loga e passa o session id (q foi armazenado no cookie ou passado pelo get) para outra pessoa q copia o cookie ou o link, enquanto o nego q logou estiver conectado, todos pra quem ele passou o cookie ou o link conseguem o mesmo acesso q ele??