Hallo,

Wenn man beides (HTTP und HTTPS) benutzt, muss man dann doch aber auch noch aufpassen, was gesendet wird oder?

ja, unbedingt.

Allerdings sollte man das tunlichst vermeiden: Mischen impossible!
Sicher _kann_ man HTTP und HTTPS innerhalb eines Webauftritts mischen, theoretisch sogar innerhalb einer Seite - also etwa das HTML-Dokument mit HTTPS, die eingebundenen Bilder mit HTTP. Sollte man aber nicht.

Angenommen öffentliche Daten werden immer über HTTP ausgeliefert. Man loggt sich ein ist in seinem "Control Center" oder was auch immer, sprich "persönliche" schützenswerte Daten. Die laufen dann über SSL, damit ist dann auch der Session-Cookie verschlüsselt. Aber wenn man dann auf eine statische Resource zugreift (eine Grafik, JavaScript- oder auch CSSS-Datei) und die via HTTP übermittelt wird, ist die Session-ID wieder ungeschützt oder?

Zum Beispiel. Cookies, die von der Logik her zum Hauptdokument gehören, werden dann auch bei den untergeordneten Requests wieder mitgesendet - und zwar offen. Andererseits ist es ein Konzeptfehler, wenn z.B. die Session-ID allein eine potentiell kritische Information ist.

Dennoch warnen die Browser in so einem Fall vor "mixed content", und auch wenn das System so aufgebaut ist, dass keine Gefahr besteht, verunsichert das doch den Nutzer. Vertrauen gewinnt man so nicht.

Man sollte sich daher überlegen: Brauche ich SSL?
Falls ja, sollte man es für die gesamte Site durchgängig verwenden, andernfalls komplett lassen.

So long,
 Martin