La sessione viene salvata direttamente salvata nel server; le informazioni - a parte l'id di sessione - non sono quindi visibili dall'utente.

I cookie se non criptati possono essere modificati con due click dall'utente e potrebbero eludere quindi i tuoi "meccanismi".

Se io ho un cookie "collegato" che ha valore TRUE o FALSE, potrei direttamente cambiare il valore a mio piacimento ed eventualmente autenticarmi.

Con le sessioni, invece, non ho questa possibilità.