Las cookies se guardan en el tarro de galletas del navegador: IE las mete en un sitio, Firefox en otro. De todas formas, no te importa, ya que es el propio navegador el encargado de enviarte las cookies.

Te funciona con el POST porque el navegador envia por su cuenta la cookie a la vez que tu envias el POST. Toda peticion desde el navegador envia las cookies de ese dominio al servidor.

si, es cierto que con only_cookies si el usuario no tiene activado las cookies, entonces las sesiones no funcionarian. Pero el pasar el id de session por url conlleva riesgos de seguridad, ya que un cracker solo necesita saber el valor del parametro de la url para poder pasarse por el usuario. Creo que es mejor obligar a que tenga activadas las cookies mientras visita tu web que arriesgarse a que le cogan el id de sesion.