Hola buenas, tengo una duda acerca de la seguridad de las cookies.

Estoy haciendo un proyecto usando Google App Engine con Python, y quiero implementar un servicio de login.

Lo que tengo hecho de momento para controlar los usuarios que estan autenticados es que cuando un usuario ingresa correctamente los datos, se crea una cookie y se almacena en sha el nombre de usuario y la clave concatenados como sid (en el campo expire se almacena la hora actual + 2 minutos, de forma que caduque a los 2 minutos la cookie)

Cuando se entre en un sitio en el que se requiera estar identificado, se comprueba que en la base de datos hay un usuario y clave que al concatenarlos y hacer el sha coincida con el sid que hay en la cookie (os.environ('HTTP_COOKIE'). Si ocurre esto, se da por bueno el contenido de la cookie y se entra en la opción elegida.

Mis preguntas son:

¿Veis algún problema grave de seguridad con la implementación hecha?
¿Cuando pasan los dos minutos y la cookie expira se borra del pc donde esta el usuario?

Muchas gracias, un saludo.