Depois que um ID de cookie é desativado/excluído por um navegador, o ID do cookie pode ser reciclado? Por exemplo, se o usuário A for marcado com o CookieID A que expira em, digamos, 30 dias, um usuário B pode receber o mesmo CookieID posteriormente?
Acho que uma pergunta melhor poderia ser 'Como um CookieID é gerado?'
Não existe um "CookieID" em geral. Os cookies não têm um significado predefinido, apenas agem como armazenamento de chave=valor – o site diz ao navegador para armazenar alguns dados e o navegador começa a anexá-los a solicitações futuras.
Isso significa que cada site define seu próprio significado e formato dos cookies que define - pode usar um cookie para armazenar um "ID de sessão" de algum tipo, ou não. Se ele armazenar um ID de sessão, poderá gerar o ID com base em um PRNG ou HMAC ou uma assinatura ou apenas o registro de data e hora atual.
Dito isso, os IDs de sessão geralmente são gerados de forma totalmente aleatória, para tornar a duplicação acidental de ID muito improvável. (Por exemplo, alguns sites usam apenas um UUID de 128 bits para essa finalidade.) Não há vantagem prática em reciclar IDs de sessão, apenas aumenta os possíveis riscos de segurança.