»»Vermutlich hältst Du Cookies für sicherer, weil der Cookie-Inhalt (hier die SessionID) nicht in der URL auftaucht.

Und weshalb sollte dies nicht so sein? URLs werden per Referrer weitergegeben, tauchen in Log-Files auf, können per Copy&Paste irgendwo eingefügt werden, können von jemanden der dir über die Schulter schaut gelesen werden, usw...

Das Cookies keine 100% Sicherheit bieten ist ein anderes Thema, aber Daten in der URL sind einfach weitaus leichter abzugreifen.

Bevor hier diese tendenziell unselige Diskussion "Was ist sicherer SessionID per Cookie oder per URL übertragen?" fortgesetzt wird, halten wir einfach mal fest, dass das bspw. folgender Fragestellung nahekommt "Ist der Islam tolerant oder intolerant?", denn einmal ist Sicherheit undefiniert, das andere mal Toleranz.

Also, wir merken uns, wollen wir Sicherheit implementieren kommen wir entweder ganz bewusst mit Halblösungen (SessionID per Cookie oder URL) oder nutzen den SSL bzw. HTTPS. (Wie Sicherheit per SSL definiert und implementiert wird entnehme der geneigte und freundliche Leser den üblichen Quellen, also bspw. http://wp.netscape.com/eng/ssl3/ oder auch http://www.ssl-forum.com/ (für nerds und so ;))