Si usa seguridad básica bajo una conexión SSL (https), no es cierto que el servidor coincida con la combinación de usuario / contraseña, pero ¿qué sucede después de eso? ¿Qué impide que el navegador acceda al servidor? ¿El navegador entra en un estado "autenticado", lo que le permite acceder al servidor? O, ¿el servidor de alguna manera ofrece un canal diferente al navegador, una vez autenticado?
Le pregunto esto porque si alguna de las responsabilidades de autenticación se confía al navegador, entonces, ¿qué pasa si tenemos un navegador renegado / pervertido que no sigue las reglas? Posiblemente, un navegador modificado podría involucrarte en cualquier cosa al omitir la autenticación final. Me pregunto qué hay en el lado del servidor que determina si un usuario está "autenticado" y qué cambios permiten que se realicen transacciones http.
Tenga en cuenta que esto supone que el usuario / contraseña se ha transmitido de forma segura mediante ssl, pero cuestiona la fiabilidad del navegador si es el agente de autenticación.
En otras palabras, ¿quién es el controlador de acceso (es decir, el que puede denegar el acceso): el servidor o el navegador? Si es el servidor, ¿se pasan las credenciales o algún tipo de clave de autenticación en cada transacción independiente? O, si es el navegador, ¿es el servidor vulnerable a un navegador "profligate" (por ejemplo, uno que ha sido modificado) que puede permitir el acceso sin autenticación?
¿Alguien puede arrojar algo de luz sobre esto?