Si está pasando el token de autorización a través de los encabezados http, debe tener una lógica del lado del cliente para pasar esto al servidor cada vez que realice una solicitud. Un skimmer puede buscar esto en el código del lado de su cliente y puede secuestrar su sesión de usuario con un script Java.
Pero si la misma información se pasa a través de cookies, es responsabilidad del navegador pasar la cookie cada vez que se realiza una solicitud (se le libera de escribir la lógica del lado del cliente). Así que es un poco difícil (pero no imposible) identificar el mecanismo por el cual se pasa el token.
Si la cookie está configurada para ser httponly, el secuestro de la sesión se vuelve casi imposible a través de JavaScript (he leído que algunos navegadores dan esta información a JavaScript pero el soporte está aumentando). Y las cookies tienen una misma política de origen. Pero aún utilizando herramientas como el violinista, un pirata informático determinado podrá acceder a esta información.
Pero el hacker debería poder rastrear la red para obtener esta información.
En conclusión, una cookie es definitivamente más segura.
Si está tan preocupado por la seguridad, vaya a los certificados SSL que casi eliminan la amenaza de que la red detecte una actividad inútil.