Usar o estado da sessão em processo é ruim quando se trata de dimensionar aplicativos da Web (não funciona bem com clusters, não ocorre quando o servidor é reciclado).

Supondo que você só precise manter uma pequena quantidade de informações no estado da sessão, qual é a desvantagem do uso de itens de cookie criptografados para essa finalidade, em vez de servidores / db de estado específicos?

Obviamente, o uso de cookies criará uma pequena quantidade de sobrecarga de rede e você operará claramente com a premissa de que os cookies estão ativados no navegador / dispositivo móvel do cliente.

Que outras armadilhas você pode ver com a abordagem?

Essa é uma boa opção para sessões simples, escaláveis e robustas?