Se si utilizza la protezione di base in una connessione SSL (https), non è vero che il server corrisponde alla combinazione utente / password, ma cosa succede dopo? Cosa impedisce al browser di accedere al server? Il browser entra in uno stato "autenticato", permettendogli di accedere al server? Oppure, il server in qualche modo offre un canale diverso al browser, una volta autenticato?
Chiedo questo perché se una qualsiasi delle responsabilità di autenticazione è affidata al browser, allora cosa succede se abbiamo un browser rinnegato / diligente che non segue le regole. In teoria, un browser modificato potrebbe farti trascinare in qualcosa ignorando l'autenticazione finale. Mi chiedo cosa sia sul lato server che determina se un utente è "autenticato" e quali modifiche consente alle transazioni HTTP di avere luogo.
Si noti che questo presuppone che utente / password siano stati trasmessi in modo sicuro utilizzando ssl, ma mette in dubbio la validità del browser se è l'agente di autenticazione.
In altre parole, chi è il gatekeeper (ad esempio, quello che può negare l'accesso): il server o il browser? Se si tratta del server, le credenziali o una sorta di chiave di autenticazione vengono trasmesse su ogni transazione indipendente? Oppure, se è il browser, il server è vulnerabile a un browser "dissoluto", ad esempio uno che è stato modificato, che può consentire l'accesso senza autenticazione?
Qualcuno può far luce su questo?