Portanto, se você projetou adequadamente seu site, não haverá diferença na segurança que você precisa para um cliente em relação a algum tipo de rastreador. Com base no fato de que você disse que está confiando em cookies para rastrear isso, um cliente mal-intencionado pode facilmente ignorar sua "segurança". Parece que você está lidando apenas com o caso em que o cliente é bem comportado. Isso é bom para alguns sites (inferno, o NYTimes faz isso). Cabe a você decidir se precisa da segurança adicional (que pode adicionar complexidade) ou se você está bem sem ela.
Os rastreadores não enviam necessariamente cookies, mas também não fazem navegadores normais. A única solução viável aqui é rastrear downloads via endereço IP (embora isso se torne inútil com o IPv6).