No es necesario que se vean por la URL, aunque es útil para hacer que funcionen aunque el cliente tenga deshabilitadas las cookies.

No sé qué querés decir en cuanto a "opciones". Si es "cookies o URL", la respuesta es que si bien la URL se puede falsear con mayor facilidad, ambas opciones son inseguras.
Por eso la cookie solamente transmite el identificador de la sesión. Con esa información el servidor obtiene los datos correspondientes.


Saludos.