Hola mi amigo,

En realidad la pregunta que haces es muy interesante, pero pienso que la respuesta depende (como tantas otras cosas) de en qué contexto son usadas tecnologías como esta de las cookies.

En el caso particular de las cookies, este pequeño y sencillo (aunque dramáticamente útil) invento ha dado ya para múltiples polémicas que dividen tanto a la comunidad de usuarios (personas que visitan las páginas web) como desarrolladores por igual. En fin, el tema es tan extenso e interesante, que daría para extensos debates sobre la implementación y modo de uso de estas "galletitas". En este sentido, te recomiendo que, si aun no lo has hecho, visites http://www.cookiecentral.com/ - sitio web en donde puedes encontrar mucha información interesante sobre esta tecnología. La información encontrada allí es del tipo de cosas que, a mi juicio, todo desarrollador web (y en lo posible, usuario final) debería conocer, de modo que este tipo de tecnologías fuesen utilizadas más sabiamente.

Pero bueno, dejando de lado los apuntes generales, creo que en cierta forma tu mismo has respondido tu pregunta...

¿Realmente quieres que la autenticación de los usuarios de tu sitio se realice únicamente mediante recursos como las cookies? Es decir, en caso de que una persona se entere del modo en que has programado tu sistema, ¿estás dispuesto a que todo lo que separe el contenido vital de tu sitio del visitante casual sea un trozo de información que viaja a través de Internet y todo lo que dice es `registrado=SI'?

No estoy diciendo que yo conozca la respuesta a estas cuestiones. Pero para tí deben ser preguntas naturales, a las que con seguridad sabrás darles la respuesta más apropiada. Lo único que te puedo recomendar, a manera de apunte personal, es que trates de mantener las cosas en la perspectiva adecuada.

Si por ejemplo yo fuera a hacer transacciones bancarias en línea, me sentiría frustrado y preocupado si descubro que el sistema en línea de mi banco opera sobre cookies con información importante que viaja como texto plano a través de la red. Por otra parte, si me registro a un sitio web de noticias al que basta un nombre de usuario para acceder y leer el contenido, me sentiría indeferente al modo en que el sitio web opera y maneja la información detrás de la interfaz... :)

Recuerda que las cookies se transmiten como cabeceras que el navegador le envía al servidor web, y que éste retorna (también en medio de las cabeceras HTTP) de vuelta al cliente. Así que no es difícil imaginar de qué modo podrían falsificarse estas cookies. Puede utilizarse cualquier aplicación que "hable" el protocolo HTTP para jugar con esta información. De hecho, en muchos casos pienso que un "atacante" potencial no tendría ningún problema en escribir su propia aplicación pequeña que se encargue únicamente de trabajar sobre estas cookies para realizar ataques que puedan comprometer información vital que fuera administrada en diferentes sitios web.

Recuerda también que las tecnologías como tal no son cosas "malas" (ni "buenas") que merezcan ser desaprobadas... Son los usos que las personas le damos a las tecnologías las que nos pueden producir dolores de cabezas y demás... :)

Un cordial saludo.