Ok, grazie
L'articolo è interessante ma non risponde alla domanda che mi ponevo io.
Al di là dei metodi più o meno sicuri utilizzati per gestire le sessioni,
mi chiedevo quale sistema fosse meglio adottare per propagare lo stato: i cookies o la propagazione tramite URL, GET o POST di un SID.
In un primo momento avrei pensato ad integrarli uno con l'altro, poi ho fatto le prove di sui sopra su siti importanti scoprendo in particolare che ebay ad esempio usa solo i cookie e se ne frega se tu vuoi tenerli disabilitati.
In pratica vorrei capire per quale motivo ebay se ne infischia ed io invece dovrei far funzionare le sessioni senza cookie.