Hola...
en mi servidor tengo

1)session.use_trans_sid=ON (se supone q por defecto deberia estar OFF!!)...corresponde q mi proveedor del servicio de hosting...haga el cambio?

2)suponiendo q logre ponerlo en off....si el usuario no acepta cookies, entonces el SID podria propagarse en la URL, pero ya probe, usando el historial q el archivo del sID queda en el servidor, osea...pruebo varios minutos mas tarde, y el SID funciona......como se soluciona este problema de seguridad?....

cluster me dijo q eso dependia de session.gc_maxlifetime...esto como lo modifico en el servidor?...

Tambien he visto el php.ini en mi PC...y sugiere
session.use_only_cookies = 1 (por defecto 0 )
osea..el SID jamaz se pasaria por URL's

para evitar posibles ataques a usuarios....

Que puedo hacer?...gracias desde ya