Session管理って、もっとも確実でセキュリティの高い方法は、結局
のところHIDDENフィールドなんですかね?コーディング大変だけど・・・

SessionオブジェクトなんかはCookieを無効にされたら一発でアウトだし、
URL Rewriting はセキュリティ的に問題あるし・・・