Hallo Jense,

Hintergrund: Es gibt massig Daten und manche sind eher sensibel.

Dann ist HTTP und HTTPS mischen eine GAAAANZ schlechte Idee - denn dann fehlen Dir effektiv doch die Vorteile von https. Entweder HTTP (wenn die Daten nicht so sensibel sind) oder HTTPS. Alles andere ist Käse und führt nur zu einem falschen Sinn von Sicherheit, die bei so etwas absolut nicht gegeben ist (es gibt etliche Attacken gegen Seiten mit "gemischten Inhalten", die den Schutz von HTTPS effektiv aushebeln).

Alles über https möchte ich aus Performancegründen vermeiden.

Hast Du dafür konkrete Zahlen? Oder ist das nur ein Bauchgefühl?

Hier bei SELFHTML verwenden wir HTTPS für alle internen Bereiche. Genauso verwenden wir SSL/TLS für das komplette Mailsystem, Daten werden entweder per SSH hochgeladen oder über HTTPS in ein Subversion-Repository kopiert. Sogar die internen (!) LDAP-Server und -Anwendungen kommunizieren alle mit SSL/TLS. Im Prinzip wird hier alles wichtige verschlüsselt.

Deshalb grundsätzlich die Frage kann man http und https 'dynamisch mischen'?

Nein, kann man nicht so ohne weiteres, die "Same Origin Policy" bezieht sich auf Hostname *UND* Protokoll (und Port). Wenn der IE das zulässt, dann würde ich das als Sicherheitslücke ansehen. Kann natürlich sein, dass er das nur bei 'localhost' erlaubt und bei entfernten Rechnern nicht, dann wäre das natürlich harmlos.

Wenn nein, wie sieht eine Alternativlösung aus (evtl. irgendwas mit frames etc. ?).

Du kannst mit Frames zwar Inhalte gemischt anzeigen lassen (d.h. einen (I)Frame mit einer HTTP-Seite in einer HTTPS-Seite darstellen oder umgekehrt) - allerdings kannst Du zwischen diesen Seiten keinerlei Daten per JavaScript austauschen (Sicherheitslücken und privilegierte Seiten (d.h. die im Browser als "besonders vertrauenswürdig" eingestellt sind) mal ausgenommen).

Viele Grüße,
Christian