Esto depende de su aplicación (su escenario de amenaza es más exacto).
Algunas de las amenazas más comunes son - escuchas ilegales (-> debe cifrar) - hombre en el medio (-> debe autenticar otra parte) - ... lo que son los suyos? (qué tan segura es su tienda de cookies, ....)
Al principio, una cookie solo contiene un token como prueba de que en algún momento ha realizado una autenticación con éxito. Si la cookie es válida el tiempo suficiente o el transporte no está encriptado, existe una buena posibilidad de que alguien la descubra algún día ...
Además, debe tener en cuenta qué medidas de seguridad adicionales existen, al principio y más importante SSL.
¿Cuál es su método de autenticación (qué credencial necesita un cliente para iniciar sesión)? ¿Tiene la posibilidad de trabajar con autenticación basada en infraestructura PPK o la comunicación es "ad-hoc"?
EDIT
Wrt. a OpenAuth: por lo que he entendido el protocolo, su principal preocupación es la delegación de autenticación. Un escenario en el que autoriza a un agente a realizar una tarea muy específica en nombre de otra identidad. De esta forma, no dispersas tus credenciales en toda la web. Si tiene instalado OpenAuth, un cliente también puede usar el protocolo directamente. Entonces, ¿por qué molestarse en agregar otro? Pero OpenAuth declara explícitamente que con un escenario de cliente directo, nuevamente se encuentra con problemas de seguridad ya que ahora el token está disponible en el dispositivo y debe protegerse en consecuencia (como debe hacer con su cookie).
Gracias por su respuesta. Suponiendo que usemos un transporte seguro (SSL) y una política de caducidad razonable, al igual que con los navegadores web, parece que está diciendo que esto debería estar bien. Estamos enviando solo usuario/pase, como suele hacerse con una solicitud POST. – Karan
Además, no estoy seguro de entender lo que quiere decir con "ad-hoc". Parece que la forma aceptada es usar un token basado en OAuth/XAuth, pero el propósito de esta pregunta es ver si las cookies son suficientes, y si no, ¿por qué no? – Karan
Si el robo de cookies/sesion no es un problema para usted, parece correcto. – mtraut