Uso de cookies para el estado de la sesión web: ¿cuáles son las trampas?

El uso del estado de sesión en proceso es malo cuando se trata de escalar aplicaciones web (no funciona bien con clústeres, bombardea cuando el servidor se recicla).

Suponiendo que solo necesita mantener una pequeña cantidad de información en el estado de la sesión, ¿cuál es el inconveniente de usar elementos de cookies cifrados para este propósito en lugar de servidores de estado / db específicos?

Obviamente, el uso de cookies creará una pequeña cantidad de sobrecarga de la red, y claramente opera bajo el supuesto de que las cookies están habilitadas en el navegador / dispositivo móvil del cliente.

¿Qué otras trampas puedes ver con el enfoque?

¿Es esta una buena opción para sesiones simples, escalables y robustas?