porque es inseguro y no todos los servidores lo soportan, hay muchisimos hosting gratuitos que no soportan sesiones debido a las restricciones de directorios temporales.
Inseguro porque la cookie va al directorio temporal donde todos los hosting compartidos tienen acceso.
Por ejemplo digamos que tu web está en el mismo servidor que mi web solo que en cuentas separadas (hosting compartido) y al crear una sesión escribes un archivo en el directorio temporal con el contenido serializado de la cookie, yo como también tengo acceso puedo entrar y modificar esa cookie y hacerme admin o cambiarte algún dato, etc.