Wobei gerade die Uebergabe per GET den Session-"Diebstahl" ggf. etwas einfacher fuer Angreifer macht.
Das ist aber auch dann der Fall, wenn man "nur Cookies" verwendet, und für den Fall, dass die abgelehnt werden, sich eine Alternative ausdenken muss.

aus dem grund sollte man sich nicht auf das vorhandensein eines session-cookies oder ähnlichem verlassen sondern immer das session-cookie gegen werte, die am server hinterlegt wurden (zb in einer session-datenbank), gegenprüfen (sofern dies die session-routine des webservers bzw der scriptesprache nicht ohnehin schon tut)

geeignet ist zb eine kombination aus ip-adresse und der hostname des benutzers, der verwendete user-agent, der port - das ist zwar auch noch kein 100%iger garant dafür, dass jemand die session eines anderen geklaut hat, aber  es verhindert zumindest, dass jemand einem anderen benutzer einen link inkl. session-id schickt und ihm somit "uneingeschränkten zugriff" ermöglicht