AJAX es perfectamente válido para aplicaciones seguras teniendo en cuenta que AJAX es simplemente una petición HTTP normal como cualquier otra, pero asincrónica.

Lo que te dicen sobre la inseguridad de gestionar perfiles en cliente es cierto, pero la lógica de tu aplicación DEBE resolverse el en servidor, no en el cliente.
Tu servidor decide si enviará o no el formulario al cliente dependiendo de las credenciales de determinado usuario y luego tu servidor nuevamente decidirá si procesa o no los datos recibidos por ese formulario dependiendo otra vez de esas credenciales.

Puedes seguir utilizando AJAX en tu aplicación todo lo que quieras, pero qué cosas puede ver o hacer un determinado usuario lo decide siempre tu servidor, que es quien controla los accesos y privilegios de cada usuario.

Saludos.