Hola Zertiko,

si el cliente tiene desactivado el javascript, o haces el formulario en flash o no tienes opcion de controlar nada en el cliente. Logicamente hacer el formulario en flash requerira que el cliente tenga instalado el pluguin.

Pero si tu haces la validacion tambien mediante PHP, estaras controlando que no envie el formulario fuera de plazo, lo unico que no te funcionara es el "marcador cuenta atras" en la pagina.

No soy un experto en seguridad en el diseño de aplicaciones (bueno, en general no soy experto en nada :p), pero creo que no hay problema en usar sesiones propagadas por cookis, puesto que si no me equivoco lo unico que hace es guardar el numero de sesion.