Tengo mi aplicacion que empieza con index.html

En este html meto el login y password lo mando a mi serlvet y desde ahí lo compruebo en mi serlvet...

if(password.equals(passwordBBDD))
{
//si es gerente lo ponemos a true
if(gerente){
request.setAttribute("gerente",gerente);
}
request.setAttribute("nombre", nombre);
request.setAttribute("usuario", usuario);
rd = request.getRequestDispatcher("paso.jsp");

Si el password y user son correcto lo redirijo a "paso.jsp"...

y como quiero que la ventana no tenga ni barras ni nada...desde ahí en el onload del jsp lo envio ya a mi aplicacion:

open(pagina,"","location=no,menubar=no,scrollbars= yes,status=no,resizable=yes");

Y luego en mis jsp de mi aplicacion al comiendo tengo lo siguiente:

String usuario=(String)session.getAttribute("usuario");
if(usuario==null)
{
response.sendRedirect("index.html");
}
%>

Si no tiene valor usuario lo redirige a index.html

¿Es suficiente seguridad para que no se pueda entrar en mi aplicacion sin logar....o no...?

¿Puede alguien según lo tengo montado entrar a mis jsp metieno un valor a usuario y saltarse la seguridad de mis jsps?

Muchas gracias.