Чем сессия отличается от cookies?

Сессия хранится на сервере, а cookie — на клиенте. Сессионный cookie содержит только ID, по которому сервер находит данные пользователя. Cookie может хранить данные напрямую в браузере. Сессия безопаснее для sensitive данных — они не передаются с каждым запросом. При тестировании: проверяем истечение сессии, что после logout сессия инвалидируется на сервере, что session fixation невозможен.