Se eu vir um formulário de login que não está usando HTTPS (ele exibe apenas http: // no URL), como posso determinar se essa solicitação é encaminhada para um servidor seguro?
Expandindo o comentário de @ arco444, você deve assumir que não é seguro - mesmo que esteja postando em HTTPS, já que o pedido pode ser reescrito para o servidor de alguém, ou seja, o sistema já pode estar comprometido. Moxy Marlinspike fez conversas detalhadas sobre a subversão de https, e seria relativamente trivial atacar isso.
Suponho que você esteja se referindo à ação do formulário e se isso faz um POST ou semelhante a https.
Você pode ver a fonte da página. Há uma chance de o destino estar no parâmetro "action" se o formulário estiver em html, embora muitos sites não usem esse método.
Nesse caso, use as ferramentas do desenvolvedor do Firebug ou do Chrome, selecione a guia "Rede", insira alguns dados fictícios no formulário, envie-os e observe as solicitações resultantes feitas pelo seu navegador.