Hello Martin,

Irgendetwas an Deiner Darstellung stimmt hier noch nicht!

Ich kann nichts Widersprüchliches entdecken.
Verwechselst du hier vielleicht die Verbindungssicherheit von HTTPS mit der Same Origin Policy von Javascript?

Ich verwechsel da nichts, obwohl auch die Same Origin Policy von JavaScript zum Tragen kommen könnte, wenn man das Einsetzen der Were in die Original-Login-Seite mittels einer lokalen Userseite versuchen würde.

Aber erzähl mir doch bitte mal, in welcher Schicht die HTTPS-Verbindung eines Browsers zustande kommt und wie lange die gilt und wie sie in die einzelnen "Seiten" vererbt wird.

Hast Du den Eingriff in eine HTTPS-Verbindung mittles lokaler Ressource mal ausprobiert?
Die Verbindung besteht zwar zwischen dem lokalen Browser und dem entfernten Server, aber die lokale Seite ist kein (Kind-)Objekt der vom entfernten Server beschafften Ressource, auch wenn die Ziel-URLs übereinstimmen.

Wenn da ein Eingriff einfach per URL möglich wäre, könnte jeder lokale Sniffer in die HTTPS-Verbindung des Browsers eingreifen. Das wäre ja grausam!

Ich hatte doch schon vorgeschlagen, dass das mal jemand als Beispiel aufbereitet, wenn es so einfach ist. Das wäre für mich zumindest ein abschreckendes Beispiel, wenn es funktionieren würde.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg