Hoi.

wie unsicher ist es eine Session_ID über den Get-Parameter zu übergeben???
Nicht unsicherer als über POST oder Cookies.

Einspruch. Ein Möglichkeit wäre: Sagen wir mal, Du hast ne Community und sowas hier:
www.example.org/meinprofil?SESSIONID=XYZ1234

Erlaubt diese Seite nun dem Community Mitlied z.B. externe Links einzustellen, so kann die SESSIONID durch den vom Client womöglich gesendeten referrer im accesslog des Fremdservers auftauchen.

Das lässt sich dann zwar mit weiteren Mechanismen prüfen / verhindern, erhöht aber die Komplexität und damit potentiell die Fehleranfälligkeit.
Insofern möchte ich schon sagen: "Cookie only" ist sicherer... und natürlich für den Benutzer wie auch Suchmaschinen praktikabler, aber das war ja nicht gefragt...

Grüße