grazie fabio, chiaro come sempre.

l'applicazione non è limitata ad una intranet, quindi servirebbe proprio SSL..
stavo guardando per i certificati..non fa niente se l'utente deve accettare un avviso ogni volta..


stavo pensando se è il caso di fare un sistema così sicuro...
e se facessi tutto tramite autenticazione http e ci mettessi del mio con un minimo di crittografia?
è solo un'idea!