Las cookies si son seguras, van sobradamente seguras normalmente para una aplicación de internet.

El problema es que cuando salieron, hubieron polémicas respecto a ellas, y un tanto por ciento muy disminuido, insisto, muy disminuido, las desactiva porque piensa que son dañinas para su equipo.

Pues las cookies son una información en archivos de texto, guardadas en el ordenador del usuario, para cuando vuelva a conectar a tu web puedan identificar, es una información que sólo tu web accede a ella, o el usuario en concreto puede verla si lo desea, información que no se confunde con otras webs.

Yo personamente utilizo cookies.

Las session_id también se pueden utilizar, si lo deseas, es un numero que el servidor da a cada usuario al entrar en la web, pero con estas sesiones no puedes identificar al usuario como pepe, ana ...etc, pues estas sessiones son borradas y son nuevas en cada conexion del cliente o nueva visita.

Saludos.