Expandindo o comentário de @ arco444, você deve assumir que não é seguro - mesmo que esteja postando em HTTPS, já que o pedido pode ser reescrito para o servidor de alguém, ou seja, o sistema já pode estar comprometido. Moxy Marlinspike fez conversas detalhadas sobre a subversão de https, e seria relativamente trivial atacar isso.