No se trata de usar cookies o session, se usan en conjunto.
No podés usar sólo cookies, de ser así envío cookie 'login' y ya está.
Y no podés usar solo session, el navegador tiene que indicar cual es su sesión y para eso se usa las cookies. No guardes datos sensibles en las cookies, hacelo en session (en servidor).


Parece broma, si.