https://misskey.io/notes/9df8e21tsr
うーん……正確に答えようとするとちょっと長くなる。
スマホや PC でインターネットを使う場合、ほぼ http というプロトコルで通信を実現している(たまに ftp だったりする)。
プロトコルというのは「手順化された約束事」。 たとえば「野球は球審のプレイボールという掛け声で始まる」というのもプロトコルの1つと言える。
http というプロトコルは state-less(状態が無い)なので、たとえば「ログインしたまま」とかの状態を憶えておく事が出来ない。
そのため、何かの状態を引き継いだまま色々な処理をしようとすると、http だけでは出来ない。
情報を一方的に見せるだけ(例:阿部寛のサイト)なら http だけで出来るし、昔はそれで充分だったが、今はそうもいかない。
クッキー自体は単なる文字列で、サーバーが発行してブラウザーが憶える(=クッキーを食わされる)。 文字列の中に固有のログイン情報とか有効期限が書き込まれ、これをブラウザーとサーバー間でやりとりする事で、擬似的に状態を継続する(クッキーによるセッションの実現)。
つまりサーバーは、アクセスしてきたブラウザーが「誰か」を識別するのにクッキーを使う。 当然、漏洩するとなりすましの危(文字数 [参照]