Ich verschlüssele meine Sessiondaten mit Crypt::CBC::Blowfish. Akzeptiert der Client Cookies, so werden diese halt dort gespeichert, ansonsten in meiner DB. Der Schlüssel wird dabei in einem geschützten Verzeichnis abgelegt.