yo tenia tb esa duda y me he decantado por sesiones; sesiones largas para usuarios corrientes y sesiones cortas para los usuarios con permisos de escritura, no vaya a ser que se conecten desde un pc que no es el suyo y puedan acceder otra personas.
Los datos los envio de forma normal, con un codigo de seguridad en las hojas privadas no creo que exista ningun problema.

if no eres administrador then
response.redirect "fuera.asp"
else
'''''''''''''''recibe los datos
end if

si existe otra fotrma mas segura a mi tb me interesa :D
un saludo