Por cookies son mas seguras .. pues nunca se te "escapará" un SID a otro sitio que no sea el tuyo. Por ejemplo como aquí en el foro sucede .. si yo pongo un link y me dejo el s=312335ijksdfhasf q es el ID de mi sesion .. tu, tal vez podrías entrar con mi session al sistema si esta no ha expirado y no tiene mecanismos de comprobar que no exista mas que un usuario "longeado" en el sistema con un cuenta en el sistema.

El problema que plantea usar "cookies" para propagar el SID .. es que si te encuentras con un navegador que no acepta cookies ya no te funcionará tu sistema de sesiones .. pues el SID no se propagará al no aceptar la cookie el cliente.

Lo mas "standar" es propagar el SID en el URL . con el peligro que ello puede conllevar. Pero, ahora PHP 4.3.x en adelante ese tema lo han mejorado .. hay directivas para checkear si el "host" que originó ese SID es el mismo que la está pidiendo .. Me refiero a por ejemplo:
session.referer_check =

No es un método infalible . .pues los "REFERER" (cabeceras HTTP) se pueden "burlar" .. pero ya es algo mas complicado que ocuarra que por un simple link que distes con el SID te puedan "usar" tu própia session en ese instante (antes de que expire) ...

Usando propagación por "cookies" .. tambien te facilita muchooo la programación, pues no hay que estar "propagando" el SID a mano en redireccionamientos tipo "header("location: pagina.tal"), botones flash, javascript (window.location ...), etiquetas <META> de refresh .. etc .. etc

Solo tienes que decidir si quieres algo "un pco mas seguro" (caso de cookies con sus pro y contras) o algo mas "standar" y un pco menos seguro ..

Un saludo,