Jedoch gibt es ja die Sicherheitslücke der Seession-ID, die ohne Ausloggen einfach in Logfiles eingesehen und verwendet werden kann...

Das ist keine Sicherheitslücke, vorausgesetzt Du behandelst Deine Protokolle wie Du sie behandeln solltest: vertraulich. Und ob Du als Seitenbetreiber nun über das Protokoll an die Kennung kommst oder im Dateisystem des Servers nachschaust, ist ziemlich wurscht.

Da aber nicht jeder weiß, was es mit einer URL auf sich hat, ist es durchaus eine Sicherheitslücke, wenn jemand eine solche URL mit Kennung in irgendein Forum schreibt.

Wäre das Grund genug, mein ganzes System auf Cookies umzustellen?

Ja.

Gruß,
  soenk.e

PS: Auch Sessions benutzen normalerweise Cookies zu Speicherung der Kennung. Die Benutzung der URL ist IMHO eigentlich eher die Ausnahme.