Да, много читал о том, что сессии безопаснее, т.к. куки хранятся в открытом виде, но при должной реализации кук прорех быть не должно. Сессии же привлекают отсутствием в браузере записей (в отличие от печенек) и отталкивают наличием этих же записей на сервере (это как плюс, так и минус, как и с cookies).