Cela dépend entièrement s'il s'agit d'une requête HTTPS ou HTTP. En général, les demandes d'authentification HTTP sont envoyées dans ce qu'on appelle "l'équivalent en clair". Il est encodé en Base-64, qui est facilement inversé, donc c'est en clair, ce qui signifie qu'il n'est pas sécurisé.
Certains navigateurs, comme Internet Explorer, ont des extensions permettant d'envoyer des mots de passe «sécurisés» aux serveurs qui les comprennent et peuvent les décoder. Cela signifie généralement qu'IIS s'exécute dans un environnement de domaine. Je mets des citations sécurisées parce que, comme la plupart des choses que Microsoft fait, la quantité de sécurité réelle est souvent en discussion. Si vous utilisez HTTPS, le mot de passe est toujours envoyé de la même manière, mais comme il passe sur un transport sécurisé, peu importe que le mot de passe soit clair ou non, puisque le transport le code.
Suppression de la mienne !! me battre de quelques milli secondes :) – Shoban
Oui, je sais que ça crypte. Et j'ai aussi une vague idée qu'ils utilisent la cryptographie à clé publique, mais je peux me tromper. Pouvez-vous expliquer en détail? – Srikanth
@Srikanth: Le serveur envoie au client son certificat et sa clé publique. Le client vérifie qu'il approuve le certificat et crée une clé symétrique pour la conversation. Ensuite, le client crypte la clé symétrique en utilisant la clé publique du serveur et l'envoie au serveur. –