Huhu Mike,

Und hier liegt mein Problem, denn dann kann ich jeden beliebigen Wert in den Cookie schreiben, sicher wär es nicht, wegen 'Diebstahlgefahr'. Kann ich dieses Problem aber lösen, ohne auf diesen Kompfort für den Benutzer zu verzichten? Ist das überhaupt möglich?

Eine gängige Praxis ist es bei wirklich sicherheitsrelevanten Interaktionen
wie z.B. persönliche Daten ändern, neue Bestellung aufgeben etc. einen "frischen" Login zu verlangen.
Für weniger kritische Sachen wie im Katalog blättern o.ä. reicht dann der Cookie vom letzten Besuch.

Damit kann bei einem Cookie-Diebstahl kein größerer Schaden angerichtet werden.

Viele Grüße

lulu