Normalmente, esa información no se transmite, porque el servidor web no precisa de una autenticación para acceder a los recursos. Es decir: todos los recursos que están disponibles de forma libre no implica un procese de autenticación por lo que las credenciales del usuario no se mandan.
Ahora bien, si el usuario accede a un recurso que sí lo requiere, como por ejemplo una página o un CGI que están en un directorio protegido -por ejemplo, con el fichero .htaccess-, entonces el cliente, a la petición del servidor, presentará una caja de diálogo donde le pedirá las credenciales al usuario.
Pero claro... esas credenciales son las propias del usuario en ese sistema... no tienen por qué ser las credenciales del usuario y so dominio, en otro sistema.
En ese caso, la información de autenticación se le entrega al CGI en la forma de las variables de entorno. El nombre de usuario se almacena en $ENV{REMOTE_USER}. Y lo mismo el resto de información (IP, nombre del
Host al que se ha conectado...).
Como regla general, la respuesta a la pregunta es no... ahora bien... los chicos malos tienen técnicas para hacerse con esa información: basta conque el usuario haga una operación en su propio contexto -su ordenador- de forma directa o indirecta -un javascript o programa local- para transmitir esa información a un CGI, de forma visible -en el navegador- o no -es solo una petición HTTP-.
Más información en
Apache, What's going on behind the scenes?.