正如您所料，通过不安全连接的 HTTP Basic 会公开用户名和密码。即使通过加密连接，基本身份验证也不理想，因为它会在每个新请求上公开凭据，这意味着它们始终保存在内存中，您无法撤销会话，并且使用安全密码哈希函数（应该花费一秒钟的时间）将非常昂贵。

但是，对于没有实际资源受到保护的服务（没有敏感的用户帐户数据或对受限服务的控制）并且目标只是让 riff-raff 远离代理，这可能就足够了。知道代理凭据可能不会给攻击者任何他们不需要的能力来捕获这些凭据，除了自己使用代理的能力。显然，如果代理正在执行诸如访问公司内部网络之类的事情——这些应该受到 VPN 或类似的保护——但如果它只是改变你的连接似乎来自的国家/地区？可能没什么大不了的。