Por seguridad .. se suele recomendar propagar el SID en cookies (que no quiere decir que los datos de tu sesión viajen en la cookie .. solo el SID que hace referencia a la sesión del servidor).

Pero, .. por "compatibilidad" se debería propagar el SID por el URL (sea automático o semimanual caso de redireccionamientos tipo javascript, etiquetas META de refresh .. o header("location ..")) para no tener problemas con navegadores que no acepten cookies.

Un saludo,