Vor allem aber entscheidende Sicherheitsvorteile. SID per URL hat viele Sicherheitslücken.

Welche sind das?

Benutzer A ist bei einem Dienst eingeloggt, sieht dort eine tolle Seite, kopiert die URL aus der Adressleiste und schickt sie an alle Kollegen der Abteilung, "schaut mal, voll lustig". Da in der URL auch die Sitzungskennung steckt, können sich jetzt alle Kollegen unter As Benutzerkonto ausbreiten. Dumm gelaufen, mit einem Cookie wär' das nicht passiert.

Kurz: Die Kennung hat in der URL nichts zu suchen. Es gibt serverseitig keinen Grund, sie dort reinzupacken, denn es gibt benutzerseitig keinen Grund, Cookies nicht zumindest als temporäre zu akzeptieren.