Speichere die Session-ID nicht in der URL, sondern in einem Cookie.

Das kann ich leider nicht machen - in die Shop-Software kann ich nicht direkt eingreifen - nur mit Subroutinen eingreifen...

Speichere in der Session die IP-Adresse der Gegenseite und ggf. die Browser-Kennung (REMOTE_ADDR und USER_AGENT), wenn die nicht übereinstimmen, verwerfe die Session. -- Kleiner Haken: Einige Provider routen Requests über verschiedene Proxies, so dass sich die REMOTE_ADDR von Request zu Request ändert. Lästig, aber nicht vermeidbar. Der HEader X_FORWARDED_FOR könnte in dem Fall helfen.

Diesen Lösungsansatz habe ich wieder verworfen, da AOL-Kunden dann nicht mehr bestellen können.