Hai ragione!
Allora il gioco è fatto, come dici tu, una volta entrati nell'area riservata, si prendono login e password dell'utente e con un form le si invia alla pagina dove si andrebbe a finire quando nell'https si clicca per entrare dopo aver inserito login e password.