Hello,

A: Session-IDs in der URL sind Mist. Du hast ja schon erkannt, dass
   das Probleme mit Bookmarks oder mit per eMail versandten URIs geben
   kann.

B: Ein Abgleich der Session-ID mit der IP ist ungeeigent, da dann nur
   Besucher mit statischer oder quasi-statischer IP eine Chance haben
   ihre Session aufrecht zu erhalten.

Abhilfe:
Arbeite grundsätzlich mit Cookies.
Prüfe als erstes, ob der Client Cookies annimmt
  Redirect senden und auswerten.
  hier werden dann "nur noch" Browser ausgesperrt, die keinen 301
  unterstützen. Die gibts kaum. Und wer alles abschaltet, hat selber
  Schuld, wenn nix geht.
Wenn keine Cookies unterstützt werden, lass den Anmeldevorgang mit
  Auth 401 durchführen. Darauf kann man schließlich auch eine Session
  aufbauen.

Liebe Grüße aus http://www.braunschweig.de

Tom