Hallo,

Zum Beispiel ... reicht es vllt schon, wenn ich als Wert von "action" des betreffenden Formulars "https://www.domain.de/logincheck.php" angebe?

Ja, aber das ist für die Besucher keine gute Idee. Hintergrund ist der: SSL soll sowohl die Übertragung verschlüsseln (damit keiner mitlauschen kann) als auch davor schützen, dass jemand so tut, als wäre er Deine Webseite, obwohl er es gar nicht ist [1]. Wenn das Formular selbst *nicht* per SSL übertragen wird, dann kann der Besucher sich nicht sicher sein, dass das Ziel des Formulars wirklich legitim ist (ein Angreifer kann das Formular und damit das action-Attribut ja Man-in-the-Middle-mäßig austauschen) - und damit wäre es egal, wenn das ursprüngliche Ziel des Formulars sicher wäre, der Besucher bekommt davon gar nichts mit. Wenn jedoch schon das Formular sicher übertragen wird, dann weiß der Besucher, dass das Formular (und damit auch das action-Attribut) wirklich von Dir kommen und kann dem daher seine Logindaten anvertrauen.

Klar, wenn das aus irgendwelchen Gründen bei Dir nicht geht, ist das mit dem https:// im action-Attribut immer noch besser als gar nichts (schützt dann zumindest vor passivem Mitlauschen, weil die Logindaten dann verschlüsselt übertragen werden), ich würde Dir aber vielleicht nahelegen, zu überlegen, ob es nicht sinnvoll wäre, die ganze Seite zu verschlüsseln.

Viele Grüße,
Christian

[1] Ich weiß nicht ob das immer noch gemacht wird, aber vor einiger Zeit gab's auf Flughäfen mal die Masche, so zu tun, als wäre man ein bekannter WLAN-Hotspot (z.B. von einer Telekommunikationsfirma o.ä.) und dabei jedoch bestimmte Anfragen aber auf eigene Seiten umzuleiten, um Passwörter etc. zu stehlen.

Viele Grüße,
Christian