Dano ao passar o ID da sessão como parâmetro de URL
Acabei de notar que um dos sites dos bancos da Internet está passando a ID da sessão como parâmetro de URL. (Veja a imagem abaixo)
Eu nunca vi em nenhum lugar que ';' em url, neste caso, é depois de 'private;'.
1) Qual é a utilidade deste ';'?
2) E por que o banco da Internet, que precisa ser o lugar mais seguro da Internet, está passando o ID da sessão como parâmetro de URL?
No começo, eu pensei que eles estavam fazendo isso porque alguns usuários proíbem o uso de cookies, mas, novamente, se eles permitem, usam cookies, se não - url, mas eu permito o uso de cookies, então obviamente não é esse o caso .
3) Acho que eles deveriam ter outras medidas de segurança? O que eles poderiam ser?
4) E o que alguém pode fazer se conhecer outros IDs de sessão válidos? Como eu sei, você pode facilmente acessar a sessão de outras pessoas se você souber esse ID, porque não é difícil editar cookies e é muito mais fácil passar esse ID de sessão como parâmetro url, especialmente se você tiver algo como:
session_id($_GET[sessionid]);
Obrigado!