Não, eles são enviados como dados de formulário claros sobre a solicitação POST. Você definitivamente precisa de SSL na sua página de login.
Várias pesquisas apenas colocaram questões sobre a criptografia de informações de login no lado do servidor. A Mediawiki criptografa logins depois de digitá-los no navegador e enviá-los? (para evitar que um man-in-the-middle os leia em trânsito e assuma uma conta)
Nenhum aplicativo da web grave criptografa logins no lado do servidor. No máximo, você teria uma ilusão de segurança, ao contrário da segurança real fornecida pelo HTTPS. Se o tráfego da Web não for criptografado, o invasor poderá alterar arbitrariamente os dados enviados ou recebidos (por exemplo, injetar Javascript mal-intencionado que registre a senha enquanto a digita ou esperar até você efetuar login e copiar seus cookies e emitir comandos em seu nome).
Tags encryption login mediawiki