Scusa, ma se io sniffo i cookie, e prelevo il cookie hashato e criptato, e poi provo a fare il login tramite cookie con quei dati sniffati, in teoria eseguo lo stesso il login no?

Perchè tanto lui accetta i codici criptati.

O forse ho capito male!

Puoi essere più chiaro?