Prendiamo un potenziale "attaccante" che vuole scavalcare il sistema...se si scrive un cookie con l'user sarebbe già dentro...