Mir fallen spontan zwei Szenarien ein, in denen durch Übertragung der Session-ID als GET-Parameter die Session geklaut werden könnte:

* Ein Benutzer Deines Webs kopiert einen URI und postet ihn in ein Forum, einen IM oder sonst wo hin. Wer jetzt diesen Link benutzt, bevor die Session ungültig wird, hat alle Rechte des Benutzers, der den URI kopiert hat.

* Ein Angreifer bekommt Zugriff auf den Access-Log Deines Web-Servers. Darin findet er URIs mit Session-IDs und kann diese verwenden, um Sessions zu übernehmen. Dazu muss er nicht mal Zugriff auf den Server haben, sondern könnte auch Lücken in Serverskripten ausnutzen, z.B. wenn ein Skript Dateien abhängig von einem GET- oder POST-Parameter inkludiert und diesen nicht überprüft.

Gruß,
David