Autenticación es autenticación. Es decir, le llame la gente lo que le llame, cada vez que te requieren unas credenciales te están pidiendo que te autentiques... Y cada vez que las suministres te estás autenticando (al margen del protocolo e incluso al margen de la informática... Lo mismo pasa cuando te piden el carné por la calle).


Haz la prueba con un servidor virtual... Dos XPs no necesariamente usan kerberos fuera de un dominio y una política concreta.

No es que el HTTPS SOLO SE USE para autenticar y luego, automáticamente, se cambie a HTTP.

Lo que decía, o trataba de decir, es que HABITUALMENTE todos los sitios utilizan HTTPS SOLO en el momento de la autenticación, por razones obvias de rendimiento y de saturación del servidor (con muchas peticiones simultáneas, si por cada una, además de "servirla", debes encriptarla/desencriptarla acabarás con una carga de servidor que te permitirá atender menos conexiones antes de colapsarlo, que si no hubiese encriptación.

Desde luego, si tu te montas un servidor web en el que sólo admites acceso vía HTTPS (SSL), TODO el tráfico será a través de https. Simplemente, eso no es lo habitual en Internet por las razones que te comenté arriba.

En un ambiente controlado por tí, con un número de clientes y conexiones máximas también controladas por tí, puedes (e incluso debes) montarlo todo a través de SSL, si la seguridad es crítica.

En ese caso, si nadie consigue hacerte un MitM, para robar tu sesión deberían troyanizar tu equipo y robar la cookie de tu equipo... O encontrar un bug en el servidor y robar la sesión allí. Lógicamente, el margen del atacante se estrecha, con lo que tu seguridad mejora.