Di norma, i cookie non contengono (non dovrebbero) segreti a lungo termine (come le password). Invece contengono un ID casuale che collega il tuo browser a un record che il server conserva con le informazioni di cui ha bisogno per ricordarti. Pertanto, il collegamento tra l'utente e le informazioni di identificazione viene interrotto quando uno di voi (voi o il server) interrompe l'utilizzo dell'ID nel cookie.
La migliore pratica dal punto di vista del server è presumere che l'utente non farà nulla di speciale per proteggersi. Quindi, se stanno facendo bene il loro lavoro, non dovresti fare nulla. Gestiscono il ciclo di vita di questi ID e, una volta scaduto l'ID, i cookie non hanno senso.
Tuttavia, si presume che i cookie di sessione vengano cancellati dal browser quando il browser è chiuso, quindi si suppone che la durata di una "sessione" sia una sola. Ora che i computer di solito sospendono invece di spegnersi, questo è meno vero, portando a una situazione in cui una "seduta" può durare mesi.
Quello che fai con questo dipende da te. Molti siti Web sono scritti male per presupporre che finché il cookie di sessione è valido, il computer non ne ha lasciato il possesso. Quindi se il tuo computer dovesse finire nelle mani di qualcun altro, allora dovresti assicurarti che i cookie di sessione vengano eliminati.