Lo q te dice Midal es lo que por ahora veo más correcto. Pasa q las cookies dependen del usuario, y no de tu server. Por tanto no deberías basar una solución ruda de seguridad en el uso de cookies. Esto sería válido por ejemplo, para un PC personal. ¿Q pasa si es de múltiple uso?
No lo puedes controlar............
En Internet hay algunos tutos de seguridad de sesiones
aquí, y aquí quizás te puedan ayudar