Tach!

Da bei HTTP alles unverschlüsselt über das Netz übertragen wird, liegt hier also der Schwachpunkt. Besser ist daher die Übertragung von Zugriffs-Schlüsseln (und Daten) per HTTPS.

Dann muss die ganze Sioetzung aber schon von vorn herein auf HTTPS laufen, denn einen Wechsel von und zu HTTPS ist wie ein Domainen-Wechsel und den überleben Cookies nicht.

Das Übertragen von Cookies auf andere Seiten (Domains) wird vom Browser üblicherweise nicht unterstützt.

Formulierungsfehler. Der Browser sendet Cookies nur innerhalb einer Domain (plus HTTP/HTTPS-Unterscheidung) wieder zum Server zurück. "Andere Seiten" interessieren dabei nicht, weil die Domain hier das dominante Glied ist.

Es ist aber sicherlich per JavaScript möglich, einen Parameter aus der einen Seite in eine andere Seite zu übernehmen.

Aber nicht (so ohne weiteres) domainübergreifend. Sonst lass ich mal deine Bankseite in einem Frame laufen und schaue, was du da so für Cookies verwendest.

dedlfix.