Hola, es normal. La seguridad la proporciona el sistema operativo. El hecho de que puedas llegar a la carpeta User Data de otro usuario demuestra una falla de seguridad del sistema operativo.
El otro agente que proporciona seguridad es el propio sitio web, que puede cifrar sus cookies, aunque no parece una contramedida para el caso que mencionás.
El sistema operativo tiene mecanismos de seguridad, pero muchos no los utilizan. La solución no es repetir los mecanismos en una aplicación. Primero porque serán menos eficientes, y segundo porque el mismo usuario eligirá no utilizarlos. Es un debate largo que ya quedó resuelto de esta manera.
