Попробую ответить вопросом на вопрос ...

Не знаю, занимался ли ты когда-нибудь банкингом или хотя бы имел дело с перечислением через веб-банкинг, но принцип авторизации плюс-минус у всех одинаковый: кроме логина и пароля письмом (а чаще голосом или непосредственно у менеджера) выдается код авторизации, который действует ограниченное время и который необходимо ввести при авторизации. Затем некий идентефикатор записывается в кукисах и дальнейший вход осуществляется путем ввода пароля.

А теперь представь, что нет идентефикатора в кукисах ... "Злоумышленнику" получить пароль, конечно, сложно ... но можно. Либо ты при желании входишь с чужого компа, а там стоит какой-то хак (?), с помощью которого "чужой" может воспользоваться паролем и произвести несанкционированную транзакцию. Или еще хуже (но реальней всего) - "злоумышленники" похищают и заставляют с какого-то терминала осуществить транзакцию денег. Одним словом - вещь неприятная ...

А теперь сам вопрос на вопрос: если бы было возможно (или хотя бы доступно возможно) смоделировать/своровать/просто получить такую куку, то на кой банкам мучаться с авторизацией и доверять интернет-клиенту? - Вся система просто не работала бы ...

Просто суть этих самых кук в том, что файлики, которые мы видим в папке кукисов - это только видимая часть. Я не знаю, как точно в системе реализован данный механизм, но знаю точно, что есть еще "нечто".

Могу, конечно, в каких-то вещах ошибаться - нет полного понимания всей этой платформы, но знаю точно по собственному опыту: очень-очень-очень богатый банк не использовал бы систему, в которой были бы дыры столь большого диаметра ...