Si, .. las cookies al permanecer esos datos en el cliente son fácilmente accesible y alterados .. Pero, no hay que tenerle miedo .. sólo saber usarlas.

Por eso ya hago el comentario que el "password" que se envia a la cookie ha de ser encriptado con MD5() mínimo .. el cual ya tenemos (en mi caso como lo gestiono con Autentificator) encriptado también con MD5() en la BD.

Es más .. hay muchos sistemas que en partes críticas de la aplicación requieren una vez más de la contraseña para hacer determinados procesos .. Por ejemplo .. un sistema que maneje cookies+sesiones como propongo .. debería pedir nuevamente la contraseña si desea por ejemplo el usuario cambiar algún dato de su perfil (sobre todo si se dá la opciónd de cambiarse uno mismo la contraseña).

No es seguro el sistema .. pero ahí en esos casos hay que poner en una balanza lo que uno desea de sus sistemas .. seguridad vs funcionalidad (como es el caso del problema de SOFIA_ME_GUSTA)

Un saludo,