Hasta PHP recomienda preferentemente propagar el SID en una cookie (las que PHP crea si así lo decides) ... más que nada por tu seguridad. Por supuesto que debes avisarlo a tus usaurios y que estos si -realmente- están interesados en usar tus sistemas .. ya autorizarán a sus firewalls y demás bloqueo de cookies que dispongan la aceptación de la que tu sitio va a emitir.

Lee este documento sobre los pros y contras de propagar el SID en el URL:

http://www.acros.si/papers/session_fixation.pdf

(en la versión en ingles de la documentación oficial .. se hace mención al PDF que te indico)
http://www.php.net/manual/en/ref.session.php

Un saludo,