depende del uso que le des..
si muestras datos personales del usuario logueado obiamente es inseguro ya que las cookies se pueden modificar desde el cliente...
las variables de session no se pueden modificar o acceder a ellas desde el cliente ( que yo sepa :D )