まだわからん。
個人情報がCookieに入るってことは、そのサイト(少なくともドメイン)で自分が
打ち込んだてことじゃないのか?
んで、そこのサイトがそのクッキーを取得してどうにかする・・・てCookieなくても
一緒じゃん。

共有サーバ全盛時代のドメイン一緒で全然別のサイトにも見えるようなCookieの吐き方
をするサイトに当たった時に、初めて危ないのか・・・。ただ現在そんな状況てあんまり
考えにくくないか?

現在、アフェリエイトとか何とか言ってどこでもJavaScript広告ががっつり入ってる
ような状況だと、Cookie丸ごと送信されてても驚かんが、それは切るべきはJavaScriptだけ
じゃないのか?

歴史的経緯があるのかも知れんが、詳しい人よかったら教えてくれ。