Autentificator propaga el SID en cookies. Justamente para comodidad tuya a la hora de programar (no tienes que andar poniendo el SID en ciertos redireccionamientos) y es más seguro según PHP.net

Si tu no quieres propagar el SID en cookies . .hazlo por el URL .. pero antes lee este documento:

http://www.acros.si/papers/session_fixation.pdf

En la versión en ingles de la documentación es php.net quien hace dicha referencia a ese documento:
http://www.php.net/manual/en/ref.session.php

Por si acaso, propaga el "SID" en cookies no significa que tus datos estén en la cookie.

Un saludo,