От себя добавлю:
Есть такой класс атак: межсайтовый скриптинг (или XSS или CSS (cross-site scripting)). Смысл атаки - вставить в HTML-страницу свой скрипт. Для чего это нужно: есть несколько применений, но т.к. мы говорим о кукисах, то рассмотрим влияние XSS на кукисы и безопасность.
Скрипт может вывести на экран содержимое кукиса: это длемонстрация атаки. Всю мощь атаки можно почувтсвовать, представив, что в результате атаки данные о кукисах будут перенаправляться на некий скрипт на удалённом сайте. задача того скрипта - сохранить полученные данные в файл. Тогда взломщик может использовать похищеные кукисы и сайт, который вписывал кукисы законному владельцу, теперь будет считать, что взломщик - это законный владелец кукиса.
Часто подобного рода атаки используются для взлома чатов и форумов: похитили куки админа и получили его права.
Кукисы на форумах и чатах зачастую состоят из имени пользователя и пароля, зашифрованного алгоритмом MD5. Если админ юзает один и тот же пароль для кучи сервисов (форумов, программ и т.д), то хищение кукисов принимает ещё более серьёзную угрозу: ведь пароль может быть расшифрован!
Принимая во внимание, что дыры, реализующие XSS-атаки, довольно часто появляются (для примера, зайдите хотя бы на
www.securitylab.ru и поищите в поиске XSS), пользоваться кукисами становится всё более и более опасно!