<div dir="ltr">Hi, <div><br></div><div>I am using stunnel 4.56 Windows verison.<br><div><div><br></div><div>I thought the username and password will *only* be sent to SERVER2, *after* the SSL handshake, with each request.</div>

<div><br></div><div>However, the truth is that the Proxy-Authorization header is attached to the request to SERVER1 "CONNECT SERVER2:433 HTTP/1.1", as well.</div><div><br></div><div>So SERVER1 can see username and password. It is not necessary and safe.</div>

<div><br></div><div>Am I missing anything here?</div><div><br></div><div>Regards,</div><div>Peter</div><div><br></div><div><br></div><div><div><font face="courier new, monospace">[stunnel]</font></div><div><font face="courier new, monospace">client = yes</font></div>

<div><font face="courier new, monospace">accept  = <a href="http://127.0.0.1:8080">127.0.0.1:8080</a><br></font></div><div><font face="courier new, monospace">connect = SERVER1:3128<br></font></div><div><font face="courier new, monospace">protocol = connect<br>

</font></div><div><font face="courier new, monospace">protocolHost = SERVER2:443<br></font></div><div><font face="courier new, monospace">protocolUsername = username<br></font></div><div><font face="courier new, monospace">protocolPassword = password</font></div>

<div><br></div></div></div></div></div>