Ehmmmm... bueno Cluster tienes razón. Es vulnerable el paso del SID tanto por URL como por campos hidden. Lo mejor es usar las cookies y listo.

En base a esto me nace otra curiosidad...¿Cómo podría de alguna forma.. detectar si el usuario tiene o no las cookies activadas?... Gmail por ejemplo, si tienes las cookies inactivas no te deja loguear y muestra un mensaje de error por las cookies.