Acabei de notar que um dos sites dos bancos da Internet está passando a ID da sessão como parâmetro de URL. (Veja a imagem abaixo)

Eu nunca vi em nenhum lugar que ';' em url, neste caso, é depois de 'private;'.

1) Qual é a utilidade deste ';'?

2) E por que o banco da Internet, que precisa ser o lugar mais seguro da Internet, está passando o ID da sessão como parâmetro de URL?

No começo, eu pensei que eles estavam fazendo isso porque alguns usuários proíbem o uso de cookies, mas, novamente, se eles permitem, usam cookies, se não - url, mas eu permito o uso de cookies, então obviamente não é esse o caso .

3) Acho que eles deveriam ter outras medidas de segurança? O que eles poderiam ser?

4) E o que alguém pode fazer se conhecer outros IDs de sessão válidos? Como eu sei, você pode facilmente acessar a sessão de outras pessoas se você souber esse ID, porque não é difícil editar cookies e é muito mais fácil passar esse ID de sessão como parâmetro url, especialmente se você tiver algo como:

session_id($_GET[sessionid]);

Obrigado!