todo lo indicado me parece muy correcto, pero hay un punto que a mi parecer podria ser un pequeño agujero de seguridad... con un simple snifer podrian capturar usuario y contraseña que estan usando en la web, ya que como has indicado no estas usando HTTPS... como recomendacion seria usarlo, de esa forma la informacion iria cifrada con lo que los snifers no servirian.