Hallo Stefan,
danke fuer die Vorschlaege, ich kann das allerdings kaum realisiern, da ja vom Shop her schon "hidden fields" kommen und der Weg dadurch entstanden ist, da ich sonst keine Moeglichkeit gefunden habe, die Felder aus dem Shop nach https zu transferieren.

[http://shop.htm] (mit hiddenfileds aus einem form)
    action http://paymentserver/init.asp
   [http://paymentserver/init.asp] (hier werden die form-felder in session-variablen gestellt)
       redirect https://paymentserver/init1.asp
   [https://paymentserver/init1.asp] (ab hier gab es auch noch nie irgendwelche Probleme mit den session-vars, die hier neu entstanden)

ich kann mir da natuerlich was einfallen lassen.
was aber total verwirrend ist:
wieso passiert das nicht im lokalen Netz?
da ist kein Unterschied ausser der IP-Adresse

Gruss
Christian

Ich würde dir auf jeden Fall vorschlagen, die SessionVariablen auf einer
SSL-geschützten Seite zu setzen. Damit sollten bei Browser klarkommen.