Lasciando perdere l'SSL, mi dici:

Originariamente inviato da andr3a
[...]sistemi affidabili di autenticazione dove ogni operazione, prima di essre fatta, deve controllare scrupolosamente che a richiamare tale operazione sia stato proprio l'utente Pippo da sito_A.
Un esempio?
Nel senso che basta un controllo del tipo seguente e sto sicuro?

ad esempio io ogni "eliminazione" la faccio passare da una pagina di conferma in cui c'è un form con un campo hidden contente la sessione dell'utente, e il metodo che elimina ovviamente esegue il controllo che la sessione sia corretta.
EDIT: il semplice canonico controllo della sessione non serve a nulla.