Alternative zu HTTP-Cookies?

Sie sagen, dass Cookies schlecht sind. Ich persönlich glaube, dass es eine "klügere" Möglichkeit geben sollte, den Status eines Benutzers in einer Web-App zu erkennen.

Sagen wir mal, so funktioniert es in einer verteilten Umgebung, in der xyz.com viele Pools und Server hat (von denen ich weiß):

1. Der Benutzer meldet sich bei xyz.com an
2. Das Login-Modul von xyz.com löscht einen Cookie auf dem lokalen Rechner des Clients.
3. Nun, wenn der Client zu Feature1 von xyz.com geht, sucht der feature1-Pool nach einem lokalen Cookie. Wenn er ihn findet und nicht abgelaufen ist, nimmt Feature1 an, dass der Client gut ist und lässt ihn rein.

Also vertraut feature1 dem Client blind, weil der Cookie vom Login-Modul gelöscht wurde.

Aber ich fühle einen grundlegenden Fehler hier in Stufe 3. Was ist, wenn ein Hacker einen Cookie klont und versucht, etwas zu tun? (Das ist die erste offensichtliche Sache, die ein Hacker versuchen wird, Cookie-Sniffing)

Also, gibt es eine Alternative dazu? - Wie werden Web-Speicher, Flash-gespeicherte Objekte in Zukunft? oder Cookies werden regieren?

Ich suche keine offensichtliche Antwort, weil es keine gibt. Ich interessiere mich für verschiedene Sichtweisen dieses Problem zu nähern.

Danke