1) Aunque no debieras preocuparte en principio por ello, puedes asegurar la propagación del SID vía URL. FAQ.

2) Simplemente asignale un valor y recuperalo en el otro archivo; de eso se tratan las sesiones. FAQ.

1 y 2) FAQ.

3) Dentro de lo que planteas, Sesiones; los argumentos bien los entendiste y mencionaste.

4) No puedes.

5) Si quieres y se puede...

6) No puedes... ... quizá con JavaScript podrías abrir una ventana sin la barra de dirección . No corresponde a PHP.


No sé qué es lo que tengas en mente, pero no porque las variables vía URI estén visibles significa que no deban usarse; pueden simplificar bastante tu programación y por ende optimizar tu aplicación (todo esta en programar bien), ¿ó por qué grandes aplicaciones como foros y sitios completos las usan?? (mira arriba ). No porque las cookies puedan estar bloqueadas significa que no son un recurso importante, pueden simplificar la interacción entre aplicación y el usuario. No porque las sesiones sean "privadas" deban ocuparse siempre; su uso puede complicar la programación, además ocupan espacio... los datos que necesitan ser pasados por sesiones usualmente son los mínimos. Todo es relativo, nada es absoluto... todo depende de lo que quieras y necesites hacer.

Si tu pregunta es mera "curiosidad" sobre seguridad, creo ese tema tiene que empezar desde antes; desde el mismo servidor... de lo cuál no puedo hablar mucho pero hay un Foro de Seguridad y Redes... aunque no creo sea este el caso.

Un saludo!