* Gevoelige informatie opslaan in cookies zonder codering: Dit is misschien wel het ergste. Cookies mogen *nooit* gevoelige gegevens bevatten, zoals wachtwoorden, creditcardnummers of persoonlijk identificeerbare informatie (PII), tenzij ze rigoureus zijn gecodeerd met behulp van sterke, moderne algoritmen (en zelfs dan is het riskant). Plaintext-cookies zijn ongelooflijk kwetsbaar.

* Extreem lange vervaldatums instellen: Hoewel ze handig zijn, vergroten cookies met een lange levensduur het risico op een inbreuk op de beveiliging, waardoor gevoelige gegevens (indien opgeslagen) bloot komen te liggen. Ze maken het ook moeilijker om de cookieroulatie te beheren en indien nodig de toegang in te trekken. Het verkorten van de vervaltijden is een belangrijke veiligheidsmaatregel.

* Cookies opslaan zonder de `HttpOnly`-vlag te gebruiken, indien van toepassing: Deze vlag voorkomt dat client-side scripts (zoals JavaScript) toegang krijgen tot de cookie, waardoor het risico op cross-site scripting (XSS)-aanvallen aanzienlijk wordt beperkt. Het weglaten van `HttpOnly` is een grote veiligheidsfout.

* De vlag `Secure` wordt niet gespecificeerd voor gevoelige cookies: De vlag 'Secure' zorgt ervoor dat de cookie alleen via HTTPS wordt verzonden, waardoor afluisteren van onveilige verbindingen wordt voorkomen. Het niet gebruiken van deze vlag bij het omgaan met gevoelige informatie is een ernstige omissie.

* Het kenmerk `SameSite` negeren: Dit kenmerk helpt CSRF-aanvallen (cross-site request forgery) te voorkomen door de situaties te beperken waarin een cookie wordt verzonden. Onjuist gebruik of weglating verzwakt de veiligheid aanzienlijk.

* Te veel cookies opslaan: Hoewel dit niet direct een beveiligingsprobleem is, kan een overmatig aantal cookies de browserprestaties verslechteren en onnodige opslagruimte in beslag nemen. Een goede praktijk is het regelmatig opruimen van oude of ongebruikte cookies.

Kortom, elke praktijk die de veiligheid, privacy of prestaties met betrekking tot cookies in gevaar brengt, wordt als slechte praktijk beschouwd. De meest cruciale aspecten zijn encryptie voor gevoelige gegevens, zorgvuldige afweging van vervaltijden en het gebruik van beveiligingsvlaggen zoals 'HttpOnly', 'Secure' en 'SameSite'.