Prima di tutto: il server su cui gira il tuo programma è in hosting? Se sì le cose sono un poco più critiche.
Se no, le seguenti sono le risposte:

1. certo, è quello sempre usato (a meno di non salvare le sessioni su db, ma è una chiccha);
2. se il server è tuo, il file di sessione è modificabile solo se hai configurato male il server o in esso girano applicazioni bacate;
3. se ti sta bene che la sessione scada alla chiusura del browser vivi tranquillo così;
4. anche tu immagino userai cookie sui client!! I passaggi di SID via GET sono sconsigliati.

Ciao.