Como regla general, las cookies no (no deberían) contienen secretos a largo plazo (como contraseñas). En su lugar, contienen una identificación aleatoria que vincula su navegador a un registro que el servidor mantiene con la información que necesita para recordarle. Por lo tanto, el enlace entre usted y la información de identificación se rompe cuando uno de los dos (usted o el servidor) deja de usar la ID en la cookie.
La mejor práctica desde el punto de vista del servidor es asumir que el usuario no hará nada especial para protegerse. Entonces, si están haciendo bien su trabajo, no deberías hacer nada en absoluto. Gestionan el ciclo de vida de estas ID, y una vez que caducan la ID en su extremo, su cookie carece de significado.
Pero generalmente se supone que el navegador elimina las cookies de sesión cuando el navegador está cerrado, por lo que se supone que la duración de una "sesión" es de una sesión. Ahora que las computadoras generalmente se suspenden en lugar de apagarse, esto es menos cierto, lo que lleva a una situación en la que una "sesión" puede durar meses.
Lo que hagas con esto depende de ti. Muchos sitios web están (mal) escritos para asumir que mientras la cookie de sesión sea válida, entonces la computadora no ha dejado su posesión. Entonces, si su computadora puede terminar en manos de otra persona, debería asegurarse de que las cookies de la sesión se eliminen.