Fintanto che nei cookie non metti informazioni in chiaro, non c'e' sostanzialmente differenza di sicurezza tra cookies e sessioni, visto che le sessioni si propagano tramite cookie.

Le principali differenze sono che usando i cookie devi fare piu' controlli ma puoi avere un'autenticazione permanente nel tempo; usando le sessioni hai una gestione piu' comoda (i dati di sessione sono affidabili quindi non devi ogni volta confrontarli col db) ma le sessioni scadono.