Man kann einzelne Clients auch durch Browser Fingerprinting identifizieren. Vielleicht nicht ganz so sicher wie mit Cookies aber gut genug, dass es genutzt wird. Für den Server ist das aber aufwendiger.
Daher wird es im Ergebnis nicht viel ändern, wenn Cookies verboten werden. Traurig aber wahr.