Провайдер видит все, логин и пароль.
По протоколу HTTP все данные передаются как есть, в открытом виде.
Другое дело, что ссылки подобного формата могут попасть не только в руки провайдера, но и других лиц. Трафик украсть чуток сложнее. Лучше использовать HTTPS. И рекомендуется избегать использования ссылок, в которых содержится пароль, просто для исключения ошибок со своей стороны (например, от банальной усталости или невнимательности). Простым пользователям это вообще нельзя показывать, для их же безопасности.
