Me podrías detallar las conclusiones que sacas para afirmarlo? ...

Yo creo que las cookies al propagarse hacia el CLIENTE son potencialmente vulnerables al ser modificadas/analizadas como y cuando quieras ..

---------

emip

Los arrays en la sesion se han de Serializar via serialize() y des-serializar via unserialize ..

No deberías mezclar $_SESSION y session_register ... para registrar una variable de sesion .. Usa $_SESSION=$tu_array; para registrar una variabel de sesión (en las FAQ's tienes un ejemplo .. lo de serializar no, pero ya te comenté las funciones que debes emplear) ...

Si propagas el SID en una Cookie .. y el navegador que estas haciendo tus pruebas no te funciona tu sistema de session es por eso, el SID no se propagará ...

Todo depende de tu configuración del apartado sesiones de tu servidor y de como propages el SID en tu programación ..(suponemos que asumes que lo haces en modo automático)

Un saludo,