どこかにまとまってないでしょうか。ざっと検索したところではこんな感じ。

• Cookieを使う
  • Cookie未対応の端末がある
    • 代表的なのはi-mode
• URLにセッションIDを付ける
  • Refererで漏れる
    • 外部サイトへのリンクはリダイレクタを使う
    • i-modeは今のところRefererを付けないからセーフ？
• セッションIDをhiddenで渡す
  • リンクがすべてボタン
• Cookie対応かどうかでCookieを使うかURLにセッションIDを付けるかを切り替える
  • 面倒
    • フレームワークが対応してくれたりしない？
    • PHPならtrans_sid？(session.use_cookiesとセット？)
    • Ruby on Railsならjpmobileのtrans_sid？
• 端末IDやユーザIDを使う
  • HTTPヘッダの情報なのでPCからだと偽造される
    • 接続元IPアドレスをチェックしてキャリア経由のアクセスかをチェックしよう。キャリア経由のアクセスだったらPCではないはず
    • キャリア経由のアクセスだとしてもスマートフォンだと偽造される？
  • どのサイトでも同じ値になる(？)ので、収集しまくっている人がいるかも