Huhu,
das CF4 hindert Dich absolut nicht daran, ganz im Gegenteil sogar, Du kannst beim CF4 deutlich mehr Parameter zum setzen von Cookies einstellen als in vielen anderen Systemen. Mir ist aber auch nicht bekannt, dass es irgendwo Foren gibt, die
nur die Loginseite auf https:// routen und den Rest nicht. Denn das wäre technisch gesehen ein bisschen inkonsequent. Und damit tut man sich wirklich keinen großen Gefallen.
Sicher: Du kannst das auch beim CF4 so machen, lässt in den Settings die Cookie Domain weg, setzt in der .htaccess eine Regel, die login.php immer auf https:// setzt und alles != login.php auf die http Variante, bindest Dein Seitenlogo mit // ein statt dem Direktlink (damit beide Varianten unterstützt werden) - und dann bekommst Du auch keine Meldung mehr vom Browser, weil Du Deinen
initialen Login unter https ausführst. Meistens kann das Cookie auch noch gelesen werden wenn Du die Seite dann wieder unter http aufrufst -
aber eben auch nicht immer! Es gibt Browser die gesetzte Cookies auch protokollsensibel ausliefern (obwohl man z.B. die Cookie Domain weglässt) und Du dann das selbe Problem hast, wie wenn Du eine Seite mit oder ohne www. aufrufst. Also kann es sein, dass Du immer mal wieder User hast die sagen "ich kann mich nicht einloggen", weil ihr Browser einfach sich dann weigert das Cookie noch zu senden, wenn das Protokoll wechselt. Hier kann das CF4 dann eben nichts dafür, wie im Endeffekt dann ein Browser auf den Wechsel von sicherer Seite auf unverschlüsselte reagiert (sofern er eben die Settings fürs Cookie ignoriert, beim setzen kannst Du rein von der Software nämlich alles einstellen was PHP hergibt und das lesen geht dann eh nur noch über $_COOKIE).
Cookies und Verschlüsselung sind eine Sache von Browser und Server primär, die Software dahinter muss dann nur mit Links und Inhalten alles korrekt machen und das ist beim CF4 der Fall. Wenn Du die Seite aber mischst, gerade mit Sessions, kann es Dir bei strengen Browsern passieren, dass sie explizit die Cookies die von https gesetzt wurden nicht mehr bei http ausliefern. Dann passiert das, worauf
oxpus etwas früher in diesem Thread hingewiesen hat. Also anders gesagt: Wenn der Browser dann das bereits gesetzte Cookie einfach nicht mehr ausliefern will hat logischerweise der Server bzw. das CF4 nichts mehr zum auslesen. Auch wenn es rein vom System her möglich wäre.
Außerdem "betuppst" Du im Grunde Deine User, weil sie sich zwar initial verschlüsselt einloggen, aber dann im restlichen System die Session unverschlüsselt übertragen wird. Das CF4 hat zwar hier auch deutlich mehr Funktionen um Session und Cookie Hijacking zu verhindern aber dann kann man es auch ganz lassen - außerdem erhälst Du trotzdem vom Browser weiterhin eine Warnmeldung, wenn Du z.B. als Gast das Posten erlaubt hast (username Feld) oder wenn Du z.B. Loginformulare anderswo auf der Seite verwendest. Es ist also einfach nicht konsequent gelöst und umgeht eigentlich nur das, was Dich sichern sollte.
Was das Tunneln angeht: Es gibt hier mehrere Varianten und nur ein paar davon sind gesetzlich wie Du sagst problematisch. In vielen Ansätzen die so existieren wird - ähnlich wie Facebook das macht - ein Bild von einem fremden Server heruntergeladen und dann lokal bei Dir gespeichert. Das ist natürlich dann eine Kopie von einem Bild welches dann wieder bei Dir liegt.
Anders wird das Schema beim CF4 sein: Hier wird die Anfrage an das Bild lediglich über einen Tunnel angefordert, sodass das Bild live von einem Wrapper ausgelesen aber eben
nicht gespeichert sondern direkt ausgeliefert wird. Hier kann nur gesetzlich problematisch sein, wenn Du Hotlinking machst, aber das ist auch bei einer direkten Einbettung ohne Zwischenhändler dann ein Problem und muss von Forenbetreibern beachtet werden. Da allerdings beim wrapper das Bild nur von einer anderen Quelle angefordert und direkt angezeigt wird ist das aber kein Problem, hier wird absolut nichts gespeichert und auch nichts von der fremdseite kopiert. Das ist also absolut in Ordnung und das darf man so auch machen.
Gerade deshalb wird das ja auch beim CF4 so gelöst, weil es den Usern keinen Mehraufwand macht und nicht einmal zusätzlich Traffic oder Webspeicher verbraucht. Letzteres wäre ja etwas, wo ich mich auch schon in diesem Thread dagegen ausgesprochen habe, nicht nur aus juristischer sicht.
Also das CF4 macht Dir hier keinerlei Grenzen - auch jetzt nicht - und wird mit dem nächsten Schritt sogar noch mehr Möglichkeiten bieten.
LG,
Chris