Pues si el navegador no acepta cookies .. no hay sistema de sesiones .. así de simple.

Si propagas el SID en el URL (sea a mano o automático) . .si el "patitas" .. pasa por un "referrer" de una web .. o un proxy .. etc .. va a dejar su SID por ahí rondando con el riesgo que eso puede llevar.

Pero, si lees los últimos "change-log" de las últimas versiones de PHP .. si mal no recuerdo .. ahora PHP verifica el "Host" que crea la sesión, así que aunque yo te "pase" mi SID válido ahora, el hecho de "pedirlo" desde otro host al que lo creó hará que ese SID no sea válido.

Pero, en la mayoría de sitios y hasta PHP.net recomienda que el SID se propague en Cookies por -seguridad- y por -compatibilidad- en el URL.

Un saludo,