1- es dificil de repsonder si o no, es decir, por ejemplo las sesiones de php residen sobre cookies, directamente sobre el sevidor no deberían tener vulnerabilidades notables, a nivel de php es lo mismo que un $_POST o un $_GET, sin embargo para el cliente puede ser un asunto mas vulnerable ya que (como ya dije) alli residen los identificadores de sesiones, sin embargo hay metodos para hacerlas mas seguras

2- sesiones de PHP XD... tambien se pueden usar para rastrear usuarios como hace google... ya que cada publicidad es en realidad un frame a una pagina de google y como saben que pagina tiene esa publicidad, saben por donde te mueves... en general sirve para almacenar datos basicos

recuerda tambien que no solo tienes cookies, tambien tienes el local storage, pero esto es a nivel meramente de js y sirve para guardar un poco mas de datos

https://developer.mozilla.org/es/docs/Web/API/Window/localStorage

Muchas gracias a los dos por sus respuestas!