Railsについての話なので、別言語別フレームワークの場合少し話が違うかもです。
Sessionについて
sessionはサーバにデータを保存し、ブラウザのcookieという領域に(データと紐付けられた)セッションIDを保存する。そして次回リクエスト時にセッションIDをサーバに渡して、サーバがチェックしてOKだったらデータをブラウザに返すもの。データそのものをcookieに保存するのではないため改ざんされにくい。
Cookieについて
cookieはブラウザのcookieという領域にデータをそのまま保存するから、署名しないと改ざんされる可能性がある。
セッションCookieについて
Cookieにはいくつか種類がある。具体的には下記4つ。
・セッションCookie
・持続的Cookie
・署名付きCookie
・暗号化Cookie
セッションCookieは名前が紛らわしいですが、ブラウザを閉じると消えるCookieのことです。
SessionとCookieの使い分け(ざっくり)
改ざんを考慮するほどでもないならcookieを使う