Вам не нужен фрейм.Просто сделайте действие формы входа, чтобы указать https://yourdomain.com/login.php.Там вы можете проверить правильность имени пользователя и пароля, а затем снова перенаправить на обычный http.
НО , это не на 100% безопасно.Тот факт, что вы отправляете имя пользователя и пароль через https, может помешать злоумышленнику или анализатору получить это.Но если позже вы вернетесь к обычному http, этот злоумышленник / перехватчик сможет перехватить сеанс любого вошедшего в систему пользователя, прослушивающего cookie-файлы сеанса этого пользователя.
Если вы хотите большей безопасности (не 100%,но больше, чем в предыдущем варианте), всегда оставайтесь в https для всех ресурсов (css, js, images, а не только для ваших файлов php / html) и даже обслуживайте страницу входа через https.
Для некоторыхрассуждения об этих пунктах см. firesheep (о проблемах с захватом сеанса) или недавней атаке Тунисское правительство на тунисских пользователей facebook / yahoo / gmail (для обслуживания даже страницы входа черезhttps).
edit : извините, я неправильно прочитал ваш вопрос.Если домен SSL отличается от домена не-ssl, у вас могут возникнуть проблемы, поскольку cookie-файл сеанса будет работать только с тем же доменом или поддоменами.Таким образом, если вы войдете в систему и отправите файл cookie сеанса с https://yourdomain.secure -server.com , браузер отправит его только на ваш домен.secure-server.com (или * .secure-server.com, если хотите), но не на yourdomain.com.Я думаю, что можно сделать файл cookie с подстановочными знаками действительным для всех поддоменов * .com, но лучше этого не делать (вы хотите, чтобы файлы cookie ваших пользователей отправлялись на evil.com?)