Stavo solo riflettendo su come l'autenticazione di base HTTP viene inviata ad ogni richiesta, spesso desidero utilizzare i reindirizzamenti http-to-https quando possibile per la migliore esperienza utente (siamo arrivati al posto dei browser che cercavano https per impostazione predefinita senza htst ancora?); anche se mi veniva da pensare che se una particolare risorsa utilizzava l'autenticazione di base http e disponeva anche di una porta http aperta, non è impensabile che le credenziali di autenticazione di base http possano essere inviate lì come succede con gli umani gestiscono le misure di sicurezza con i loro < em> solito livello di grazia.
Mi piacerebbe sentirmi dire "no, nessun browser ragionevole, lo sviluppatore di strumenti o software invierà l'autenticazione di base su un semplice http più" e quella prevenzione è stata introdotta in modo da richiedere un inutile sforzo per aggirare. ma penso che le risorse di autenticazione di base http non dovrebbero avere la porta 80 httpd disponibile per gli esseri umani.