Аз този проблем съм го решил без никакви бисквитки:
Използвам идентификатор на сесията (произволен дълъг низ от символи), който е уникален за всяка сесия. Този идентификатор се съхранява в база данни, в която се отчита и времето на последната активност от страна на потебителя със съответния идентификатор. От базата данни за сесиите има връзка към базата данни с потребителите по потребителско ИД. Самото предаване на идентификатора при преминаване от едина в друга част от сайта става с GET или POST метод. При отваряне на нов документ се извиква функция, проверяваща валидността на идентификатора. А що се отнася до сесиите с бисквитки - доста голяма част от алгоритмите използващи бисквитки са много лесни за exploit, чрез създаване на сесиината бисквитка с javascript, директно от сайта ви

Поздрави!