En parte .. a tus usuarios debes avisarles de este hecho para que acepten la cookie que tu sistema (PHP de la propagación del SID en cookies) va a generar si es que realmente quieren usar tu aplicación/sitio. Puedes describirles las ventajas y beneficios si corresponde de que acepten la cookie y que no hay peligro en ellos ni revelación de datos en la cookie por este hecho.

Por lo demás .. siempre puedes "forzar" la configuración (de PHP al menos) a la conveniencia de tu aplicación. Por ejemplo usando ini_set() o un .htacces para dejar tu configuración a tu gusto .. por ejemplo para propagar el SID sólo por cookies: (ini_set("session.use_only_cookies","1"))

PHP dispone de la directiva: session.use_trans_sid .. la cual ya sobre-escribe ciertos tag's de HTML para inserta en ellos el SID .. así evitas en la mayoría de casos en tu programación tener que hacerlo "a mano" .. Pero, PHP no hace esto en todos los "redireccionamientos" que hagas .. por ejemplo en un header("Location: pagina.tal") no inserta el SID, tampoco en javascript (window.open .. window.location .. etc) y en redireccionamientos tipo recarga por <META ... refresh ...>

En esos casos partículares tendrías que insertar el SID a mano .. También sería recomendable "forzar" a que PHP no propagase el SID en cookies desactivando session.use_cookies a OFF ... si es que realmetne deseas propagar el SID en el URL completamente.

Sobre temas de seguridad en cuanto a la propagación del SID: URL vs Cookie .. puedes leer el documento que recomienda PHP.net al respecto:

http://www.acros.si/papers/session_fixation.pdf

En lineas generales hay más ventajas en cuanto al desarrollo (programación) y seguridad propagando el SID en cookies que no en el URL vs al detallito que te hace depender de que el "cliente" acepte cookies.

Un saludo,