Eso soluciona muchos de los problemas, pero no el problema del almacenamiento local de la cookie. Un usuario de la misma computadora podría obtener los datos necesarios para iniciar la sesión. (la cookie se transmite cifrada, pero no necesariamente se guarda cifrada en la computadora del usuario).

Sigo pensando que lo ideal es usar una cookie que guarde *solamente* un ID de sesión.


Saludos