Nem adod ki a secure cookie-kat insecure csatornán. Ez már jó régóta implementálva van. És amúgy meg bőven elég iframe-be tenni azt a részt, ami kiírja, hogy "Heló SzBlöki", bejelentkezés után. Az mehet titkosítva. A többit meg minek.