Cita:
Iniciado por alvlin 
porque la seguridad a través de cookies es nula. Fácil de burlar para quien sepa hacerlo, ya que usuario y contraseña viajan en cada petición.
Con sesiones también se usan cookies, pero la cookie solamente contiene un identificador único que referencia a un archivo de datos que está en el servidor, por lo que el usuario no tiene forma de falsearlo. Es MUCHO más seguro
Pero puede conseguir el SID (el identificador que sirve de referente) y con él ya no necesita saber ni usuario ni contraseña. Creo
Si consigue usuario y contraseña obteniéndolas de las cookies del usuario (ambos datos codificados) no puede acceder a la cuenta a no ser que los crackee para descifrarlos.