A bejelentkezett statuszt nem, maximum a session ID-t (ami ellopasnal mindegy, viszont magadnak nem tudsz bejelentkezett statuszt generalni cookie hackelessel). Igazabol a session ID-t valahol tarolni kell, vagy cookie-ban, vagy az URL-ben, es akkor mar a cookie-s a jobb megoldas (az URL-bol is ugyanannyira (sot) el lehet lopni).
Az altalad emlitett tamadasi forma egyebkent tenyleg letezik (XSS a becsuletes neve), de itt jo esellyel nem tudsz sehova sem javascript kodot beilleszteni (ha igen, akkor _az_ sechole).
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!