Tolles Scheinargument.
Erstens schreibst du an anderer Stelle, dass nur du die Administration benutzt. Du solltest also wissen, was du in deinem Browser aktiviert hast. Und zweitens gilt für Cookies grundsätzlich exakt das Gleiche, was für JavaScript gilt (kann deaktiviert/nicht vorhanden, im Endeffekt: nicht vorausgesetzt werden). Warum machst du dann solch einen Unterschied in der Beurteilung der Verwendbarkeit der Techniken?

thx, werde mir die links zu htaccess mal anschauen

und du hast richtig erkannt, nur ICH benutze den adminbereich, also warum sollte ich mir die arbeit machen und das umstellen? ich weiß sehr wohl das bei mir JS aktiv ist, also warum nicht nutzen?