codice:
if(uservar!=null && uservar.equals("rossim")&& 
                                passwordvar.equals("rossino")){

Stai correttamente controllando che uservar non sia nulla prima di verificarne l'uguaglianza, ma non stai controllando che anche passwordvar sia diversa da null prima di confrontarla con la stringa "rossino". E, per ciò che ha detto Renny nel post precedente, la sessione sarà sicuramente vuota, quindi passwordvar è certamente nulla e da qui la NPE.

Ciao.