Pues .. hasta PHP.net recomienda propagar el SID en cookies .. y más con las últimas directivas del php.ini sobre la propagación del SID en cookies y las propiedades de estas que se crean sólo para el dominio especificado.

Esas son las dos formas . por el URL y por cookies no hay más. Esas son las ventajas de las cookies para este caso particular de crear sesiones seguras y en contra los problemas de que el cliente acepte o no cookies.

Si tu avisas que tu aplicación requiere cookies para funciónar no deberías tener problemas. El cliente estará avisado y si realmente desea usar tu aplicación ya las aceptará las cookies que provengan de tu dominio (si es que dispone de algún navegador o soft que gestione que cookies intentan entrar a su PC).

Un saludo,