Se l'utente ha i cookies disabilitati, è necessario passare l'ID di sessione tramite URL, implicitamente se "session.use_trans_sid" è abilitato, altrimenti esplicitamente. In entrambi i casi, se non ho capito male, l'ID viene "rivelato".
Ma rendere "visibile" l'ID di sessione, quali problemi di sicurezza può dare? Il php.ini raccomanda cautela...