hi,

* korrigiert mich wenn ich falsch liege, habe das irgendwie so in Erinnerung, oder weicht PHP dann sicherheitshalber auf beides gleichzeitig aus?!

Den ersten Versuch, wenn die Session gerade erstmalig gestartet wurde, macht PHP dann mit "beidem" - es versucht, einen Cookie zu setzen, _und_ gibt die SID als Parameter in site-internen Links und Formularen mit. Es kann schließlich zu dem Zeitpunkt noch nicht wissen, ob der Client den Cookie akzeptieren wird.
Beim nächsten Request schickt der Client dann den Cookie entweder wieder mit - dann geht PHP davon aus, dass es dieses Verhalten auch für den Rest der Sitzung erwarten darf, und nutzt nur noch den Cookie zur Übergabe der SID. Oder es wird nicht wieder mitgeschickt - dann fügt PHP weiterhin die SID an Links und in Formulare ein.

gruß,
wahsaga