In teoria è più sicuro se l'id di sessione lo metti in un cookie, ma non sempre è possibile, quindi dovresti gestire entrambe le situazioni!