Hi Daniel!

Vielleicht ist ja hier das Problem. Kann es sein dass Du für Deine Domain kein eigenes Zertifikat hast? Benutzt Du vielleicht sowas wie "https://sslproxy.tld/deinedomain.de...", also einen SSL-Proxy Deines Providers?

Huch, ich habe doch gar nichts gesagt und du kennst mein Problem, sowas nenne ich löblich ;)

Jaja... mit der Zeit hier im Forum entwickelt eine Glaskugel wirklich beeindruckende Fähigkeiten ;-)

Es ist genau so wie du sagst,nämlich dass ich ein Verzeichnis hab, in dem ich die zu verschlüsselnden Daten speichern muss und dann über
"https://ssl.provider.at/meine-domain.at/verzeichnis"
aufrufen muss. Ich habe mich schon beim Provider erkundigt, ist aber anders leider nicht möglich (sagte der - dass es möglich ist ist eh klar wie Kloßbrühe, aber natürlich gegen einen warscheinlich nicht unerheblichen Kostenaufwand :( )

Ja, sowas kostet nunmal. Ist aber erheblich sicherer und vertrauenserweckender - aber eben auch teurer :)

Eigentlich wollte ich das mit der Sessionübergabe per URL vermeiden, da es erstens sehr aufwendig ist (trans-sid deaktiviert)

Das hat nicht notwendigerweise was mit trans-sid zu tun. Wieviele Links zeigen denn auf die SSL-Domain? Alle die müsstest Du manuell ändern ("script.php?".session_name()."=".session_id()).

und zweitens lege ich mir damit ja selbst wieder ein Ei mit der Sicherheit, denn dann habe ich zwar auf der einen Seite eine sichere Verbindung, im Falle einer Copy&Paste Linkweitergabe kann aber dann der Benutzer gleich den Account vom anderen übernehmen,

... Moment - wie denn das? Wenn ein Benutzer keinen "Account" hat, muss er an eine gültige Session-ID kommen. Wenn das so schützenswerte Accounts sind - wieso sollte jemand diesen einfach weitergeben? Und wenn Du _das_ verhindern willst - vergiss es, wenn ich Cookies mitlesen will kostet mich das alles in allem 1 klick!

also wäre es auf gut Österreichisch "ghupft wie ghatscht" ,auf Deutsch übersetzt: "gehüpft wie gesprungen" :)

hm, nur in sofern dass es "ghupft wie ghatscht" ist, ob Du jetzt Cookies oder URL-Parameter verwendest :)

Ja, URL-Parameter haben den Nachteil dass bei externen Links die ID ggfs. über den Referer in fremde Logs wandert. Allerdings trifft das bei SSL nicht zu (zumindest bei den Browsern die ich getestet habe), da wird an externe Seiten der Referer nicht übermittelt - und von trans-sid auch nicht am die URL gehängt - also IMHO kein Problem.

Allerdings solltest Du für alle Fälle in jedem Fall einen zuverlässigen Timeout-Mechanismus einbauen!

Ich werde noch einmal versuchen eine automatische Weiterleitung der Domain auf die https verschlüsselte Index Datei zu legen, dann müsste es funktionieren, da es ja laut deiner Auskunft, die mir um einiges weitergeholfen hat, da ich nun wenigstens weiss worans hapert - nicht anders möglich ist.

Wie gesagt, kannst Du die Session-ID nicht wirksam vor dem Anwender verstecken. Wenns denn unbedingt sein muss, könntest Du mit Buttons und POST-Requests arbeiten, oder per Location-header mit angehängter SID, und dann auf SSL-Seite wiederum mit "internem" Location-header - diesmal mit Cookie....

Aber wie gesagt - IMHO vergeudete Zeit.

Grüße
Andreas