Gracias a los dos. Entonces tenemos 4 metodos. Los tres primero da igual la maquina. Lo que importa es la sesión: Por cookie, por id session (session bean), y por URL modificada. El ultimo y casi no usado es parecido a la limitación que hacen los servidores segun el nombre de maquina (IP).
Lo de la modificacion de URL si que se de que va. Y es como has dicho. Se genera la clave de sesión, que tiene que ser lo más dificil posible de averiguar y se introduce en la url.
He estado investigando sobre los metodos. El de url no lo utiliceis nunca, ya que es la más facil de suplantar, además se queda registrado en logs y en los historiales de los navegadores. El método de las cookie tampoco es bueno, ya que las cookie se pueden modificar y es facil de sumplantar. Además, existen muchos metodos de cross site scripting, que si el usuario tiene un navegador con alguna vulnerabilidad, se le puede capturar la cookie y por lo tanto la sessión. El que menos conozco es el otro. El de sesion bean, en un principio pinta el mas seguro, pero habria que estudiarlo.
Gracias por todo