No son la misma cosa. Una cookie es una cadena que se envía al usuario, y que por lo tanto puede ser modificada con cualquier valor.
Una sesión es un conjunto de datos que se guardan en el servidor, y que se corresponden a un usuario mediante un identificador de sesión.
Usando sesiones el usuario recibe solamente el identificador, no el resto de los datos. Esto resulta en que una variable vía cookie es muy simple de modificar, pero una variable de sesión es en la práctica imposible (con las precauciones que debe uno tomar al utilizar esa palabra) de modificar por un usuario: solamente podría jugar un poco con el ID de sesión, pero eso no le da acceso al resto de los datos. E incluso si "juega" demasiado, probablemente se encontrará con una sesión caducada por el servidor.
Es aquí donde entran las autentificaciones de dos factores: tu sistema puede comprobar si el usuario que inicia la sesión tiene siempre la misma IP, y en caso de que otra IP intente conectarse con el mismo ID de sesión, lo obligas a identificarse de nuevo. Tiene sus problemas, pero puede ser efectivo.

Exacto. Usando sesiones solamente se le envía el ID de sesión, así que el problema se mitiga en cierta forma. Si te decantás por usar cookies, asegurate de estar enviando solamente datos sin importancia, y SIEMPRE valídalos. Ten en cuenta también que aunque tu usuario sea bienintencionado, al pasar datos sensibles vía cookies estás obligándolo a que sus datos viajen por servidores ajenos (el proxy de un cibercafé, por ejemplo, o algún troyano instalado en la máquina)

Con datos que vienen del usuario la regla de oro es asumir que son maliciosos.


Saludos.