Hi,

Ich kann nichts Widersprüchliches entdecken.
Verwechselst du hier vielleicht die Verbindungssicherheit von HTTPS mit der Same Origin Policy von Javascript?
Aber erzähl mir doch bitte mal, in welcher Schicht die HTTPS-Verbindung eines Browsers zustande kommt und wie lange die gilt und wie sie in die einzelnen "Seiten" vererbt wird.

genaugenommen ist HTTPS kein eigenständiges Protokoll, sondern "HTTP über SSL", oder "HTTP über TLS".

Das heißt, der Browser baut zunächst eine SSL/TLS-Verbindung zum Server auf und spricht dann über diesen Kanal ganz normales HTTP. Ist der HTTP-Zyklus abgeschlossen (Request und Response abgehakt, oder Timeout), dann wird auch die SSL/TLS-Verbindung wieder ab- und beim nächsten Request wieder aufgebaut. Okay, bei kurzfristig aufeinanderfolgenden Requests wird nicht jedesmal die Verbindung neu aufgebaut, aber das ist bereits ein Feature des darunterliegenden HTTP 1.1, das heutzutage meist verwendet wird.

Bei Requests, die zeitlich weit auseinanderliegen können (lies: 10 Sekunden, 30 Sekunden, oder gar noch mehr), so wie es beim Formularabruf und dem danach folgenden Formularwegschicken der Fall ist, sind das aber mit Sicherheit zwei vollkommen getrennte Requests und damit auch zwei getrennte SSL/TLS-Transaktionen.
Es kann höchstens sein, dass der Browser beim zweiten Request nicht erneut das Zeritfikat abruft und überprüft.

Hast Du den Eingriff in eine HTTPS-Verbindung mittles lokaler Ressource mal ausprobiert?

Nein. Es findet kein "Eingriff in eine HTTPS-Verbindung" statt. Es gibt zwei Requests, die aus protokollarischer Sicht nichts miteinander zu tun haben. Der einzige, der einen Zusammenhang sieht, ist der Nutzer.
Und genau deswegen ist es völlig schnurz, von wo denn das Formular geladen wurde.

Die Verbindung besteht zwar zwischen dem lokalen Browser und dem entfernten Server, aber die lokale Seite ist kein (Kind-)Objekt der vom entfernten Server beschafften Ressource, auch wenn die Ziel-URLs übereinstimmen.

Nochmal: Es gibt zwei Requests. Die Tatsache, dass sie unter Umständen (nämlich wenn sie sehr kurz aufeinanderfolgen) dieselbe SSL/TLS-Verbindung nutzen könnten, ist irrelevant.

Ich hatte doch schon vorgeschlagen, dass das mal jemand als Beispiel aufbereitet, wenn es so einfach ist. Das wäre für mich zumindest ein abschreckendes Beispiel, wenn es funktionieren würde.

Da ist nichts Abschreckendes dran. Es ist ungefähr so, als ob ich das Antragsformular für eine Kur nicht direkt bei meiner Krankenkasse anfordere, sondern stattdessen von einem Kollegen kopiere, der das schon gemacht hat. An der Rechtmäßigkeit, Korrektheit und Vertraulichkeit des Antrags ändert das nichts.

Ciao,
 Martin