Danke, das beantwortet die Frage sehr gut! ;-)

Die Login-Daten werden verschlüsselt übertragen.
Vereinfachter Aufbau eines HTTP(S)-Posts:

1.) Client verbindet sich zum Server, öffnet (verschlüsselte) Verbindung
2.) Server antwortet
3.) Client schickt über geöffnete Verbindung die Daten
4.) Server antwortet (mit Webseite, Statuscode o.ä.)
5.) Client schliesst ggf. verbindung und zeigt Ergebnis an