Если вы отправляете по SSL, тогда информация будет передаваться по зашифрованному каналу и предотвращать перехват пакетов.
Можно ли также разместить действительную страницу формы входа на защищенном сервере? Таким образом, когда пользователь заходит на ваш сайт, он видит, что страница входа защищена, и может быть уверен, что его данные для входа будут опубликованы с использованием SSL. В противном случае пользователю предоставляется незашифрованная страница, на которой его просят ввести свои учетные данные, и у него нет возможности (если не считать источника HTML) узнать, будет ли его информация отправлена с использованием SSL.
Другой вопрос, который у меня возникает, - как незащищенный сервер «узнает», что пользователь действительно прошел аутентификацию на защищенном сервере? Если это делается с помощью файлов cookie или перенаправления браузера (оба из них будут незашифрованными, поскольку пользователь отправляется обратно на незащищенный сервер), то эта информация будет легко прочитана любым пользователем в сети. Это может быть дырой в безопасности, где учетные данные пользователя действительно безопасны, но ваше приложение / веб-сайт не защищены от доступа лиц, которые фактически не аутентифицировались.