Pues dentro del uso de sesiones, el uso de la propagación del SID en cookies es de lo más seguro si cabe .. así que por mi parte yo aviso a mis usuarios de este hecho para que por lo menos del sitio que necesitan usar lo consideren como confiable y dejen pasar esa cookie.

Puedes ver lo que te comento detallado en este documento que PHP.net recomienda al respecto:

http://www.acros.si/papers/session_fixation.pdf
http://www.php.net/session (en la versión en ingles de la documentación hacer referencia a este documento).

Para mi lo más seguro es usar sesiones (pues los datos que almacentan permanecen en el servidor) y propagar el SID (Identificador único de sesiones) en cookies (las que PHP crea ya por defecto si así dedices en tu configuración de PHP propagar el SID).

Es un "mito" que el hecho de usar sesiones no se usen a su vez cookies (como el caso mencionado para propagar el SID). Todo depende de la configuración de PHP (o de como la "forcemos" con ciertas funciones: ini_set() y otras de sesiones).

Esto hay que tenerlo bien claro a la hora de trabajar con sesiones y si se propaga el SID en el URL .. tener bien claro los problemas de seguridad que nos podría acarrear en "pró" de hacer un sistema más "compatible" con las configuraciones de los navegadores de los usuarios.

Un saludo,