Объясните пожалуйста почему куки считают не безопасными? Я думаю что это вполне себе безопасная вещь, я просто хочу убедится в этом. Куки по подсунутой ссылке с нужного сайта никак не вытащить. Способы запустить на компе клиента сниффер тоже для этого вопроса отпадают потому что на комп нужно залезть, чтобы взять куку пользователя на нужном злоумышленнику сайте JS код должен выполнится именно на этом сайте, а это уже взломать сам хостинг. В общем случае кука для двух удаленных друг от друга людей где один хочет стащить куку у другого это вполне безопасная вещь. Если клиенту подсунуть ссылку на бесплатный хостинг где выполнится document.cookie и отправится на кому нужно через ajax, то куки всех сайтов не отправятся, отправится кука того домена куда попал клиент.
Взломать хостинг, залезть на комп клиента не относится к вопросу, в остальном (подсунуть ссылку) и все что угодно кроме двух условий выше можно, в таком варианте кука вполне безопасна разве нет?