Cita: Esto que te provoca ??? facil, cualquier persona puede hacer una pagina local con un form asi:
<form actio="http://www.TU_SERVIDOR.com/privado.asp" method="post">
//Campo de user
</form>
Ok, pero eso es controlable (no sé si 100%).
Puedo preguntar primero si HTTP_REFERER (tanto en ASP como en PHP) es nulo. Si lo es, lo mando al demonio. Si no es nulo, pregunto su valor. Si el valor del referer no es exactamente el esperado (http://www.MI_SERVIDOR.com/pagina_que_llama_a_privado.asp), también lo mando a la merda.
y... no le veo más problemas de seguridad, aunque podrían existir y escapan a mi conocimiento.