Ho fatto un paio di prove. Hai un bug nella gestione del login nel caso l'utente non usi i cookies. In pratica gli assegni comunque un session_id a priori, mentre questa assegnazione dovrebbe avvenire solo dopo il riconoscimento dell'utente.