Hi Uli,

Geht die URL bei HTTPS (und mit ihr eine mögliche session-id) im Klartext
über die Leitung oder ist sie Bestandteil der HTTPS-Verschlüsselung ?

ich kann Deine Frage leider nicht beantworten (die Netscape-SSL-Doku
ist mir zu "leitungsnah") - ich kann sie nur "übersetzen":

Wird bei HTTPS das gesamte HTTP-Paket (HTTP-Header plus Body) mit SSL
verschlüsselt oder nur der Body-Teil?

Alle von Dir genannten "kritischen" Informationen (angeforderter URL
inklusive GET-Parametern, Referrer, Cookie) sind Bestandteil des HTTP-
Headers - für sie muß die Antwort also immer gleich ausfallen.

Falls die Antwort lautet "das gesamte Paket" (womit ich eigentlich
rechne, alles andere wäre m. E. "zu kurz gesprungen"), dann sind alle
genannten Session-Methoden gleichermaßen geschützt.
Lautet die Antwort "nur der Body-Teil", dann wären alle im HTTP-Header-
Abschnitt enthaltenen Informationen belauschbar - was ich mir nicht so
recht vorstellen kann (eben weil gerade dort wirklich interessante In-
formationen für einen potentiellen Angreifer stehen).

Relevant wird die Frage nur, wenn Du Informationen in den Body ver-
schieben würdest, was im Falle einer Übertragung via POST statt GET
der Fall wäre. Das hätte allerdings den Nachteil, daß Du keine normalen
Links mehr verwenden darfst, sondern Deine Seiten mit Formularen ver-
knüpfen mußt (Links verwenden immer GET, bei Formularen gibst Du die
Methode im <form>-Tag an).

Viele Grüße
      Michael

P.S.: Der Begriff "hidden" für Formular-Parameter bringt Dir in Sachen
      Sicherheit übrigens nichts: "Versteckt" sind diese Informationen
      nur für den Betrachter der Seite, nicht für den Belauscher der
      Leitung.