in genere il trasferimento dei dati del form è meglio inviarli in ssl, per il resto dipende da come hai sviluppato la cosa. che controllo fai sulla sessione?