Estaba pensando en cómo se envía la autenticación básica de http con cada solicitud. A menudo, deseo usar redireccionamientos de http-to-https cuando sea posible para una experiencia de usuario más agradable (¿hemos llegado al lugar de los navegadores que intentan https de forma predeterminada sin htst? ¿todavía?); aunque se me ocurrió que si un recurso en particular utilizaba autenticación básica de http, y también tenía un puerto http abierto, no es impensable que las credenciales de autenticación básica de http puedan enviarse allí, como sucede con los humanos, que manejan las medidas de seguridad con sus < em> nivel de gracia habitual .
Me encantaría que me dijeran "no, ningún navegador, herramienta o desarrollador de software razonable enviaría la autenticación básica más de http" y que la prevención se incluyó como un esfuerzo indebido para pasar por alto. pero estoy pensando que los recursos de autenticación http básicos simplemente no deberían tener httpd de puerto 80 disponibles para los humanos en absoluto.