Cita:
Iniciado por abimaelrc 
Estas mezclando lo que te quiero decir. Primero si estas usando un solo dominio pero solo cambias de HTTP a HTTPS no pasa el valor del id de la sesión.
Si que lo pasa!! Se mantiene el session_id pero no las variables de session. Tengo que comprobarlo pero según lo que he leido entre el mismo dominio ocurre así!!
Cita:
Iniciado por abimaelrc Una forma de lograrlo es como indicaste de la base de datos. Pero vamos a suponer que yo me conecto y se guarda esa información en la base de datos y tu también te conectas y se graba tu información en la base de datos. Cuando vayas a pasar a https vas a verificar en la base de datos la información pero ¿cómo va a saber el sistema que id de sesión me corresponde a mi y a ti? Vas a tener que grabar en algún lugar información básica mía que cuando hagas el query pueda identificarme y me traiga entonces la información de la sesión. Entonces te pregunto ¿cómo piensas lograr eso?
En caso de perdudar el session_id tendría que pasar el session_id de http a https a través de la url ( get or post ), o añadir en la tabla de las sesiones un nuevo campo donde iria el usuario_id ( md5(ID_USER + TIME() ) ) y al pasar de http a https pasaría dicho valor y entonces realizaria la validación; Podría incluso añadir también la IP también y compararla; y incluso un periodo máximo de 30 segundos para realizar dicha comprobación
Que te parece? Tienes alguna otra opción? Lo que esta claro es que si el session_id no persite hay que pasar SI o SI de Http a Https algún identificador para extraer la información de la base de datos!! Suponiendo que las variables de sesión se guardan en DDBB,¿ sería seguro pasar el SID como parametro para extraer la info de la DDBB dado que aunque la intercepten, la cookie en el servidor estará vacia????