Antwort #2 am: 01. April 2014, 17:27:00
Das sind aber 2 verschiedene Benutzer/Passworte. Darüber hinaus wird MODsid nur dann nicht mehr angehängt, wenn ein Cookie gesetzt werden konnte. Blockt Dein Browser das Cookie wird MODsid weiterhin benutzt.
Auch verhinderst Du so nicht, dass alle Aktionen im Frontend des Shops mit der Session aus MODsid ausgeführt werden können (Bestellungen einsehen, Adressen ändern/anlegen, bestellen).
Worst Case ist dann eine Bestellung auf Rechnung an eine neu angelegte Adresse, mit der Folge, dass der eigentliche Kunde, der brav keine Cookies akzeptiert eine Rechnung erhält und der Täter die Ware an irgendeine Adresse geliefert bekommen hat.
Ohne Änderungen am Shop besteht meine Meinung nach nur das Zeitlimit für die Admin-Session drastisch zu reduzieren und sich immer brav abzumelden, damit die Session ungültig wird.