Un browser dovrebbe farlo. Se la pagina di accesso è HTTP anziché HTTPS, si ha già un problema, anche se si suppone che le credenziali vengano passate su HTTPS, un utente malintenzionato attivo potrebbe modificare la pagina di accesso per modificare l'azione o eseguire altre azioni dannose aggiuntive.
Per determinare se anche le credenziali di stato progettate vengono passate in chiaro, è sufficiente visualizzare l'origine della pagina di accesso nel browser. Se l'azione del modulo di accesso è HTTP: //, o se la pagina di accesso è HTTP e l'azione è relativa o senza schema, (l'aspetto relativo è action="/process-login"
e lo schema appare come action="//insecuresite.com/process-login"
), le credenziali vengono effettivamente passate in chiaro .
Puoi anche utilizzare la scheda "Rete" (o equivalente) negli strumenti di sviluppo del browser prescelto, spesso accessibile tramite F12 per esaminare la richiesta effettiva di determinare se si tratta di HTTP o HTTPS.