1) .. Si usas por ejemplo formularios .. el SID se pasa como un campo oculto (hidden) añadido a tu formulario .. si a eso añades que usas POST como método nunca verías el SID por ningún lado (pero si que está viajando en esa variable y sería "scaneada" si examinas tus cabeceras HTTP que genera tu página).

2) .. No hay otra forma de propagar el SID .. El SID es tu "lazo" con el cliente que originó tu sesión .. de alguna forma hay que identificarlo y saber que está ahí vigente .. por eso existe el SID y como trabajamos bajo "cliente-servidor" .. ese dato ha de viajar de uno a otro sentido para que se "asocien" ..

4) Lo más seguro es propagar el SID en cookies .. Para nada es "cutre" si argumentas que es por su bien (de los usuarios) que permitan las cookies que genera tu sitio. Alguien que sea usuario de internet debe saber que cookies aceptar .. no denegar todo por qué "le dijeron" que toda cookie es con fines maliciosos!!!. Y si tu tienes tu sitio certificado, tu avisas de este hecho .. nadie debería cuestionar la aceptación de esa cookie.

5) Ya no es que quede "estéticamente" mejor o peor pasar un motón de variables .. o que exista un límite .. sino que si tu pasas algun valor de alguna variable "sensible" como por ejemplo el "Ususario" autentificado en tu sistema .. como veras es cómodamente alterable (mucho más que una cookie).

6) si ..


Un saludo,