Zależy to od aplikacji (dokładniejszy scenariusz zagrożenia).
Niektóre z najczęstszych zagrożeń są - podsłuch (-> należy szyfrować) - człowiek w środku (-> musi uwierzytelnić drugą stronę) - ... jakie są twoje? (jak bezpieczny jest Twój sklep z ciasteczkami, ...)
Plik cookie na początku zawiera jedynie token jako dowód, że kiedyś udało się dokonać uwierzytelnienia. Jeśli plik cookie jest ważny wystarczająco długo lub nie jest zaszyfrowany, istnieje duża szansa, że ktoś kiedyś się dowie, że ...
Ponadto należy wziąć pod uwagę, jakie dodatkowe środki bezpieczeństwa obowiązują, na początku i najistotniejsze SSL.
Jaka jest twoja metoda uwierzytelniania (jakie poświadczenia wymaga zalogowanie się klienta)? Czy masz możliwość pracy z uwierzytelnianiem w oparciu o infrastrukturę PPK lub czy komunikacja jest "ad-hoc"?
EDIT
Wrt. do OpenAuth: o ile zrozumiałem protokół, jego główną troską jest delegacja uwierzytelniania. Scenariusz, w którym upoważniasz agenta do wykonywania bardzo konkretnych zadań w imieniu innej tożsamości. W ten sposób nie rozrzucacie poświadczeń w całej sieci. Jeśli masz OpenAuth w miejscu, klient może również użyć tego protokołu bezpośrednio. Więc po co zawracać sobie głowę dodawaniem kolejnego. Ale OpenAuth wyraźnie stwierdza, że przy bezpośrednim scenariuszu klienta ponownie napotkasz problemy bezpieczeństwa, ponieważ teraz token jest dostępny na urządzeniu i musi być odpowiednio chroniony (jak musisz zrobić z plikiem cookie).
Dzięki za odpowiedź. Zakładając, że używamy bezpiecznego transportu (SSL) i rozsądnej polityki wygaśnięcia, tak jak w przypadku przeglądarek internetowych, wydaje się, że mówisz, że to powinno być w porządku? Wysyłamy zwykłego użytkownika/passa, jak to zwykle bywa z żądaniem POST. – Karan
Ponadto, nie jestem pewien, czy rozumiem, co masz na myśli przez "ad-hoc". Wydaje się, że akceptowanym sposobem jest użycie czegoś takiego jak OAuth/XAuth, ale celem tego pytania jest sprawdzenie, czy pliki cookie będą wystarczające, a jeśli nie, dlaczego nie? – Karan
Jeśli kradzież sesji/plików cookie nie jest dla ciebie problemem, to wydaje się być w porządku. – mtraut