Кто-нибудь знает, возможно ли это?
Ну да, вы можете поместить документ HTTPS в iframe на незащищенный документ, если хотите. Но в этом нет абсолютно никакого смысла.
Нет видимого интерфейса браузера, чтобы пользователь мог знать, что содержимое iframe исходит от HTTPS. Злоумышленник «посередине» может легко изменить источник «защищенного» фрейма, чтобы указать на его собственный «злой» фрейм; результат будет совершенно неразличим для пользователя (если он не проверит источник HTML полностью, что не произойдет).
Таким образом, хотя ваша заявка на вход в систему может проходить через HTTPS в обычном порядке, вы фактически ничего от этого не получили.
Пользователям никогда не следует предоставлять «безопасный» логин на странице, которая сама по себе не полностью обслуживается через HTTPS (получение значка блокировки браузера). Если вы хотите иметь выпадающий логин на каждой HTTP-странице, вы можете иметь это, но в выпадающем меню должно быть предупреждение о том, что оно может быть небезопасным, и ссылка на HTTPS-страницу, с которой они затем могут войти в систему правильно.