Cita: me harian las cookies o el SID por url para propagar las variables de una pagina a otra???
Es el SID (Identificador Único de sesión) el que se ha de propagar por el URL o en una cookie. NO los datos. Los datos (tus variables de la sesión) siguen en el servidor que es desde donde se gestionan. El SID "relaciona" el "cliente" que creó y maneja esas sesiones con los datos que permanecen en el servidor bajo ese "SID". Si se pierde o no es propagado (correctamente por el URL o en una cookie que PHP crea automáticamente si lo defines así: session.use_cookies = ON como parámetro de configuración de tu php.ini (ajustable por ini_Set() también ..) .. no podrás acceder a las variables de sesión que creas, .. de hecho al usar "session_start()" y no tener un SID válido que llegue al script "propagado" ya (por el URL o en esa dichosa cookie) .. se crea una sesión nueva (con otro SID) ...
Cita: y para no entrar directamente en una pagina privada sin haberse autentificado??? resumiendo, tan solo con las variables de sesion y sin cookies ni SID por url podria implementar una intranet??
La validación en sí se trata simplemente de ver la existencia de una de tus variables de sesión que creas al momento de pasar tu validación del usuario (login). Supongo que ya te habrá quedado algo más claro que es el SID .. por ende, el tema de "sin cookies" y "sin SID" no debes mezclarlos de esa forma ..
Cita: Po otra parte alguien sabria como autentificarse con encriptacion SSL y seguir usandola durante toda la sesion??? He buscado pero en estos foros no he encontrado ningun post al respecto.
No sé a que te refieres con esto .. tal vez estés confundiendo lo que es autentificación HTTP .. de lo que es la capa "Secure Socket Layer" (SSL) de seguridad.
SSL tan sólo "encripta" todo lo que viaje entre cliente-servidor (de por ejemplo los datos de los formularios que uses en tus páginas HTML y hasta que llegan al servidor (donde PHP los espera y los procesa) y del retonro de este hacia el cliente con los resultados que deba mostrar en el cliente.
Otra cosa es que bajo SSL (https://) a su vez hagas autentificación HTTP (esa ventana de "login" que aparece del S.O. donde se te pide usuario/contraseña para cierto dominio).
Con sesiones igualmente puedes realizar el control del usuario en tu aplicación.
Un saludo,