Un navegador debería hacerlo. Si la página de inicio de sesión es HTTP en lugar de HTTPS, entonces ya tiene un problema porque, incluso si se supone que las credenciales se pasan a través de HTTPS, un atacante activo podría modificar la página de inicio de sesión para cambiar la acción o realizar otras acciones maliciosas adicionales.
Para determinar si incluso en el estado diseñado las credenciales se pasan sin autorización, solo vea la fuente de la página de inicio de sesión en el navegador. Si la acción del formulario de inicio de sesión es HTTP: //, o si la página de inicio de sesión es HTTP y la acción es relativa o sin esquema (el aspecto relativo es action="/process-login"
y el aspecto sin esquema como action="//insecuresite.com/process-login"
), entonces las credenciales se pasan claramente. .
También puede usar la pestaña "Red" (o equivalente) en las herramientas de desarrollo de su navegador elegido, a las que se accede a través de F12 para examinar la solicitud real y determinar si es HTTP o HTTPS.