Webサイトにログインすると、サーバー上にアクティブなセッションが作成され、ブラウザーは各セッションでそのセッションの識別子をサーバーに送信することで「ログイン」状態を保持します。
このアプローチの問題は、人々があなたのクッキーを(クッキーの盗聴によって)盗むことができるかもしれないことです。問題は、ログオフすると実際にサーバー側のCookieが削除されるかどうかです。
これはサーバーとサーバー側の言語に依存すると思います。たとえば、Apache上のPHPでセッションを終了すると、実際にはセッション識別子が無効になりますか?