Buenas a todos, en estos momentos me encuentro haciendo una intranet, la cual autentifica mediante LDAP, pero estoy viendo que para que la sesión se propage tengo que realizar un session_start(); al comienzo de la página, incluso antes de que el usuario llegue a autentificarse. ¿Que ocurre con esto? Que si realizo un:
veo que el id es idéntico al id que te proporciona una vez autentificado. Y me gustaría saber si esto es que funciona de esta manera, o si por lo contrario es que estoy haciendo mal el código.

¿Es a esto a lo que os referis a que la propagación de una sesión es insegura comparándola con el control por cookies?

Gracias